Stocke des informations sur les ressources de tout le
réseau et permet aux utilisateurs de localiser, gérer et utiliser
ces ressources.
Utilise le protocole LDAP (Lightweight Directory Acces Protocole)
Avantages :
Le chemin LDAP comprend :
Les noms uniques
é |
Les noms uniques relatifs
Accès au réseau
Session sur le domaine
Session locale
Compte utilisateur = nom d'authentification +
password
Le compte utilisateur
Є a un groupe
Session locale uniquement
( est stocké sur le poste client sur la S.A.M.)
Création de compte utilisateur
Pour importer en bloc des comptes utilisateurs utiliser
Csvde crée plusieurs comptes utilisateurs. Commande csvde –i –f <fichier>
Ldifde crée, modifie et supprime plusieurs comptes utilisateurs
Attention ne pas mettre de mot de passe sur le fichier d’exportation : il est en clair
Format du fichier
Est une limite de sécurité : l'orsque l'administrateur ne peut administrer que son domaine, à moins qu';il ne soit habilité à intervenir sur les autres domaines.
Est une unité de duplication : les domaines constituent également des unités de duplication. Dans un domaine, les ordinateurs appelés contrôleurs de domaine contiennent un réplica de l’annuaire d’Active Directory. Chaque contrôleur d’un domaine donné est en mesure de recevoir des modifications et de les dupliques vers l’ensemble de ses homologue au sein du domaine.
Est un objet conteneur utilisé pour organiser les objets d’un domaine. Une OU peut contenir des comptes d’utilisateur, des ordinateurs, des imprimantes, ainsi que d’autres OU.
Hiérarchisation des unités d’organisation
Est une organisation hiérarchique de domaines Windows 2000 partageant un espace de noms contigus.
Le nouveau domaine est le domaine est un domaine enfant d’un domaine parent. Chaque domaine enfant à une relation bidirectionnelle transitive avec son domaine parent
Comprend une ou plusieurs arborescences. Les forêts ne forment pas un espace de nom contigu. En revanche les forêts partagent un schéma et un catalogue global commun
Est un référentiel d’information qui contient un sous-ensemble d’attributs relatifs à tous les objets d’Active Directory
Le catalogue global permet
Un serveur de catalogue global est un contrôleur de domaine qui conserve une copie du catalogue global et qui traite les requêtes qui lui sont destinées. Le premier contrôleur de domaine que vous créez dans Active Directory devient automatiquement le serveur de catalogue global, par la suite on peut rajouter d’autres contrôleurs de catalogue global
Activer / désactiver un catalogue global
Dans la console Site et service Active Directory, dans l’arborescence console, développer le contrôleur de domaine qui va héberger ou héberge le catalogue global
Clic droit sur NTDS Settings puis Propriété
Activer ou désactiver la case à cocher catalogue global
Structure physique d’Active Directory
Dans Active Directory la structure logique est séparée de la structure physique. La structure logique organise les ressources réseau, tandis que la structure physique sert à configurer et à gérer le trafic réseau. Ce sont les contrôleurs de domaine et de sites qui forment la structure physique d’Active Directory.
Est un contrôleur du domaine exécutant Windows 2000 Server qui stocke un réplica de l’annuaire, gère les modifications et les duplique vers les autres contrôleurs du même domaine. Ils gèrent les ouvertures de session, d’authentification, et de recherche dans l’annuaire.
Les domaines mappent la structure logique de l’organisation.
Est une combinaison d’un ou plusieurs sous-réseaux IP connecté par une liaison haut débit.
Les sites mappent la structure physique du réseau.
Gestion de la duplication Active Directory
Implique le transfert et le maintien des données Active Directory entre les contrôleur de domaine du réseau. AD utilise la duplication multi-maître
Fonctionnement de la duplication
La duplication intervient du fait des changement apportée à AD
la duplication dans AD est conçue sur un modèle à plusieurs maîtres, ainsi tous les ordinateur proposant un mise à jour à plusieurs maîtres doivent gérer les conflits
Pour réduire les conflits, les contrôleur de domaine enregistre et dupliquent les changements apportés aux objets au niveau des attributs plutôt qu’au niveau des objets. Ainsi les modification portées à deux attributs différents d’un objet , tels que le mot de passe de l’utilisateur et le code postal, n’entraîneront pas de conflit même s’ils ont été modifié en même temps.
Cachet unique globaux
Il est défini par 3 composant
1 – numéro de version : augmente à chaque mise à jour ; le N° le plus petit est écrasé
2 – dateur : date heure système
3 – serveur GUID : il identifie le contrôleur du domaine à l’origine de la modification
Contient les définition de tous les objets et attributs qui peuvent être crées dans l’annuaire, ainsi que les règles de création et de gestion de ces objets et attributs
Est dupliquée sur tous les contrôleurs de domaine de la forêt
Il ne peut y avoir qu’un seul schéma dans la forêt
Contient les informations portant sur la structure d’AD , y compris quels domaines et quels sites existent, quel contrôleur de domaine existent dans chacun d’eux et quels services sont disponibles.
Est dupliquée sur tous les contrôleurs de domaine de la forêt
Il ne peut y avoir qu’une seule partition de configuration dans la forêt
Contient des informations concernant tous les objets spécifique au domaine crées dans AD, y compris les utilisateurs, les groupes , les ordinateurs, les OU ;
Est dupliquée au sein de son domaine
Il peut y avoir plusieurs partition de domaine par forêt
Le serveur de catalogue global
C’est un contrôleur de domaine qui stocke les partitions d’annuaire actualisables ainsi qu’un réplica partiel de partition d’annuaire qui contient un copie en lecture seule des parties d’informations stockées dans cette partition.
Le vérificateur de KCC
C’est un processus intégré sur chaque contrôleur de domaine qui génère automatiquement la topologie de duplication dans la forêt. Il calcule automatiquement la meilleure connexion possible entre chaque contrôleur de domaine et établi de nouveaux liens en cas de panne. Le KCC ne peut faire que 3 bonds donc il gènère une topologie de duplication automatique pour que le KCC n’ait pas plus de 3 sauts pour que tout les contrôleurs de domaine suivants soient à jour.
Réplication immédiate
Dans site et service Active Directory, développer Sites, premier site par défaut puis sur serveurs sélectionner le contrôleur de domaine sur lequel à mise à jour à été entreprise cliquer sur NTDS Settings cliquer droit sur l’objet de connexion du partenaire de réplication puis cliquer sur répliquer maintenant ensuite <OK>
Duplication intersite
On peut planifier manuellement la duplication intersite. Pour optimiser la bande passante on peut on peur compresser le trafic de duplication ce qui augmente le temps processeur du contrôleur de domaine.
Protocole de duplication
RPC Ø duplication intersites et intrasite
SMTP Ø duplication intersite (préférez RPC)
Surveillance de duplication
réplication monitor
outils graphique ne peut être exécuté que sur tout contrôleur de domaine, serveur membre ou tout ordinateur exécutant W2K Advanced serveur
se trouve dans support tools
repadmin
outils en ligne de commande
Le maître d’opération
est un contrôleur de domaine qui joue le rôle de contrôleur de modification
il à 5 rôles
contrôle toutes mise à jour apportées au schéma. Le schéma contient la liste des classes d’objets et d’attributs, liste qui sert à créer tout les objet d’Active Directory tels que les ordinateurs les utilisateurs les imprimantes
Rôle à l’échelle de la forêt
1 seul contrôleur de schéma par forêt
Contrôle l’ajout ou la suppression de domaine dans la forêt
le Contrôleur de domaine est aussi serveur de catalogue global
1 seul maître d’attribution de nom de domaine par forêt
Prend en charge les contrôleurs secondaires de domaines (CSD) exécutant Windows NT en mode mixte.
Il est le premier contrôleur de domaine crée dans un nouveau domaine.
Met à jour les modification des mots de passe pour les client antérieur à W2K.
Réduit le délais de duplication en cas de modification des mots de passe pour les ordinateurs client W2K
Gère la synchronisation horaire
Elimine les risque d’écrasement des objets GPO
Attribue des blocs d’identificateurs RID à chaque contrôleur de son domaine
Empêche la duplication d’objets s’ils se déplacent d’un contrôleur de domaine à un autre.
Pour afficher l’allocation du pool RID utiliser dcdiag
Mise à jour ,dans son domaine, des références à des objets situés dans un autre domaine. La référence à l’objet contient le GUID et éventuellement le SID
Le maître d’infrastructure ne doit pas être sur le même contrôleur de domaine que celui qui héberge le catalogue global
Dans une forêt à un seul domaine il n’y a pas de maître d’infrastructure
Le maître d’infrastructure d’un domaine étudie régulièrement le réplica des données de l’annuaire, les références aux objets qui ne se trouvent pas sur ce contrôleur de domaine. Il demande au serveur de catalogue global des informations courantes sur le nom unique et l’identificateur de sécurité de chaque objet référencés.
Gestion des rôles de maître d’opérations
Lorsqu’on crée un domaine Windows 2000, le système d’exploitation configure automatiquement tous les rôles du maître d’opérations. Il peut être nécessaire de réattribuer un rôle de maître d’opérations un autre contrôleur de domaine dans la forêt ou dans le domaine. Il faut exécuter la procédure ci-desous
Identifier le conteneur du rôle de maître d’opération
Selon de maître d’opération à déterniner il faut utiliser l’une des console Active Directory
Identification du maître RID, de l’émulateur CPD et du maître d’infrastructure
- Ouvrir la console Utilisateur et ordinateur AD
Le nom du maître d’opération actuel s’affiche dans la zone Maître d’opération
Identification du maître d’attribution de nom de domaine
Le nom du maître d’attribution de nom de domaine actuel s ‘affiche dans la boite de dialogue Modifier le maître d’opérations.
Identification du contrôleur de schéma
Regsrv32.exe %systemroot%\system32\schmmgmt.dll
Le nom du contrôleur de schéma actuel s’affiche dans la boite de dialogue Modifier le maître d’opérations
Transfert de rôle de maître d’opérations
Maître d’opération |
Groupe autorisé |
Contrôleur de schéma |
Administrateurs du schéma |
Maître d’attribution de nom de domaine |
Administrateurs de l’entreprise |
Emulateur CPD |
Admins du domaine |
Maître RID |
Admins du domaine |
Maître d’infrastructure |
Admins du domaine |
Transfert des rôle de maître RID, émulateur CPD et maître d’infrastructure
Attention : Vérifier que vous ne transférez pas le rôle de maître d’infrastructure dans un contrôleur de domaine qui héberge déjà un catalogue global
Transfert du rôle de maître d’attribution de nom de domaine
Attention : Vérifier que le contrôleur de domaine qui contient le rôle de maître d’attribution de nom de domaine héberge également le catalogue global
Transfert du rôle de contrôleur de schéma
Attention : Vous devez enregistrer la MMC d’administration de schéma , schmgmt.dll avant d’ouvrir AD
Prise du rôle de maître d’opérations
Le transfert d’un maître d’opération défaillant vers un nouveau contrôleur de domaine doit obligatoirement précédé de la déconnexion physique définitive du maître d’opération en panne
Utiliser la console AD ou la commande ntdsutil pour transférer le rôle.
Prise des rôle émunlateur CPD et maître d’infrastructure
Prise des autres rôles de maître d’opérations
La perte temporaire du contrôleur de schéma, du maître de nom de domaine ou du maître RID n’est pas perceptible par l’utilisateur final et n’a généralement aucune incidence sur votre mission d’administrateur . En cas de panne définitive déconnecter physiquement l’ordinateur
Et utiliser la commande ntdsutil
Utilisation de la commande ntdsutil
Défaillance de l’émulateur CPD
A de grave conséquence sur le fonctionnement du réseau
Défaillance du maître d’infrastructure
N’est pas grave tant qu’elle ne dure pas longtemps
Défaillance des autres maîtres d’opérations
La défragmentation s’effectue automatiquement lors du processus de nettoyage de la mémoire. La défragmentation hors connexion doit être effectuée manuellement. Elle est nécessaire pour créer une version compressée du fichier de base de donnée d’origine (ntds.dit)
Procédure
Préparation de l’installation d’Active Directory
Configuration requise
Lancer l’assistant d’installation
dcpromo.exe
Choisir le contrôleur de domaine et le type de domaine
Indiquer le nom de domaine, nom DNS, nom NetBIOS
L’emplacement du volume de base, du journal et du volume système partagé.
Autorisations
Mot de passe à utiliser en mode restauration des services d’annuaire
Ajout d’un contrôleur de domaine réplicat
La tolérance de panne exige au moins deux contrôleurs de domaine par domaine.
Plusieurs contrôleurs de domaines permettent d’éviter de surcharger le contrôleur de domaine.
Lancer dcpromo.exe et suivre l’assistant
Utilisation d’un script d’installation sans assistance
Un fichier réponse contenant les paramètres requis pour une session d’installation sans assistance. Contient uniquement la section [DCInstall]
Ligne de commande dcpromo /answer : <fichier_réponse>
Voir Unattend.doc dans le CD-ROM \Support\Tolls\Deploy.cab
Configuration du service d’annuaire
Contient le conteneur Schéma, qui stocke les définitions de classe et d’attribut de tous les objets d’Active Directory.
Elle est dupliquée dans tous les contrôleurs de domaine de la forêt
Contient le conteneur configuration qui stocke les objets configuration de l’ensemble de la forêt. Les objets configuration stockent des informations sur les sites, les services, et les partitions d’annuaire.
Elle est dupliquée dans tous les contrôleurs de domaine la forêt.
Contient un conteneur de domaine, tel que le conteneur consoto.msft, qui stocke les utilisateurs, les ordinateurs, les groupes et autres objets d’un domaine Windows 2000.
Elle est dupliquée dans tous les contrôleurs de domaine d’un même domaine.
Configuration du service d’annuaire
Démarrage automatique des services
Localisateur RPC
Permet aux applications distribuées d’utiliser le service de noms RPC (Remote Procédure Call)
Ouverture de session réseau
Exécute le service de localisateur de contrôleur de domaine. Crée un canal fiable pour l’enregistrement des ressources SRV dans DNS entre l’ordinateur client et le contrôleur de domaine.
Centre de distribution des clés
KDC (Key Distribution Center) : gère une base de données avec des informations sur les comptes pour toutes les entités de sécurité dans son domaine
Messagerie intersite
ISM (InterSite Messaging) utilisé pour la duplication du courrier intersite
Serveur Suivi de liaisons distribuées
Sert à résoudre les raccourcis et les liens OLE vers les fichiers résidents NTFS dont le nom et/ou le chemin ont changé.
Service de temps Windows
Synchronise les horloges des ordinateurs clients et des serveurs exécutant W2K
Paramétrage de la sécurité
Active la sécurité sur le service d’annuaire et les dossiers de duplication des fichiers
Configure des listes DACL sur les fichiers et les objets d’Active Directory
Autres opérations d’installation d’Active Directory
Règle le nom de domaine racine DNS de l’ordinateur
Détermine si le serveur est déjà membre du domaine
Crée un compte d’ordinateur dans l’unité d’organisation Domain Controllers
Applique le mot de passe fourni par l’utilisateur pour le compte administrateur
Crée un objet de référence croisé dans le conteneur Configuration
Ajoute des raccourcis
Crée le dossier partagé SYSVOL (qui contient les stratégies de groupe) et NETLOGON (qui contient les scripts d’ouverture de session des ordinateurs non-Windows 2000)
Crée le conteneur Schéma et Configuration
Attribue des rôles spécifiques au contrôleur de domaine
Vérification après installation
Ou
_msdcs
_sites
_tcp
_udp
Utiliser la commande net share, dans la liste des dossiers partagés on devrait voir
NETLOGON racine_système\SYSVOL\domaine\SCRIPTS
SYSVOL racine_système\SYSVOL
Ou
Menu <Démarrer> puis <Exécuter> taper %systemroot%\sysvol
L’explorateur de Windows s’ouvre et affiche le contenue du dossier SYSVOL qui doit comporter les sous dossiers suivants
Domain
Staging
Staging areas
Sysvol
Menu <Démarrer> puis <Exécuter> taper %systemroot%\ntds
L’explorateur de Windows s’ouvre et affiche le contenue du dossier Ntds qui doit comporter les fichiers suivants
Ntds.dit : il s’agit du fichier de base de données d’annuaire
Edb.* : il s’agit des journaux de transaction et des fichiers de points de vérification
Res*.log : il s’agit des fichiers journaux réservés
Implémentation de zone de recherche intégrée dans Active Directory
Après l’installation d’Active Directory, intégrer une zone DNS à Active Directory afin que DNS puisse utiliser AD pour stocker et dupliquer les bases de données de zone DNS.
Utiliser DNS pour intégrer une zone DNS à Active Directory
<outils d’administration> <DNS> <zone de recherche directe> puis clic droit sur <Propriétés>
Idem pour zone de recherche inversée
Publication dans Active Directory
C’est l’action de créer ou rechercher des objets dans AD. Tout objet exécutant W2K est automatiquement publié dans AD. C’est le serveur d’impression qui publie les imprimantes sur AD.
Pour afficher les objets imprimante : Menu Affichage cliquer sur Utilisateurs, Groupes et Ordinateurs en tant que conteneurs.
Pour mettre à jour des imprimantes orphelines utiliser le nettoyeur de disque : Démarrer Programmes Outils systèmes Nettoyeur de disque.
Publication d’une imprimante n’exécutant pas W2K
Avec la console Utilisateurs et ordinateurs Active Directory en faisant : Nouveau puis cliquer sur imprimante taper le chemin UNC (\\serveur\partage\) de l’imprimante ou le script Pubprn.vbs. Taper CSRIPT %systemroot%\system32\pubprn.vbs <paramètres>
Exemple : pour publier une imprimante sur un serveur dans l’OU Sales et le domaine consoto.msft : taper à l’invite
Pubprn.vbs serveur « ldap://OU=Sales DC=Consoto, DC=msft »
Définition de l’emplacement des imprimantes
Active Directory repère les imprimantes du sous réseau. En conséquence il faut segmenter le réseau de façon logique pour pouvoir distribuer correctement les imprimantes dans un réseau.
Le nom de l’imprimante est limité à 32 caractères et le nom complet à 260 caractères.
Le nom détaillé peut aider les utilisateurs à repérer géographiquement les imprimantes. On peut ainsi donner dans ce champ des renseignements utiles
Configuration et administration d’un dossier partagé
Publication d’un dossier
Dans la console utilisateurs et ordinateurs Active Directory cliquer droit sur l’OU dans la laquelle vous souhaitez faire le partage, choisir Nouveau puis dossier partagé dans la zone nom taper le chemin UNC du dossier (\\serveur\partage)
Délégation du contrôle de l’administration
Dans la console <Utilisateurs et ordinateurs Active Directory> dans l’OU ou la délégation doit avoir lieu cliquer sur <Action> puis <Déléguer le contrôle> pour ouvrir l’assistant.
Suppression d’Active Directory
L’assistant d’installation permet de supprimer Active Directory.
Lancer dcpromo.exe