Active Directory

• Notion de groupe de travail

• Notion de domaine

• Structure logique de l’Active Directory

• Structure physique de l’Active Directory

• Les sites

• Arborescences et forêts

• Relation d’approbation

• Rôle du maître d’opération au niveau d’une forêt

• Rôle du maître d’opération au niveau d’une domaine

GROUPE DE TRAVAIL

• Un groupe de travail est un ensemble d’ordinateurs en réseau qui partagent leurs ressources. Chaque ordinateur possède sa propre base de données concernant les noms des utilisateurs, leur mot de passe et leur profil. On y trouve aussi bien des ordinateurs avec Windows 2003 Pro ou Windows 2003 Server.

• Un serveur Windows 2003 qui ne fait pas partie d’un domaine, est un serveur autonome

NOTION DE DOMAINE

• Un domaine windows 2003 est un groupe d’ordinateurs qui utilisent la même base de données d’annuaire centrale.

• Le contrôleur de domaine est un ordinateur qui contient un exemplaire de la base de données (Annuaire). Seuls les ordinateurs exécutant windows 2003 Server peuvent être contrôleur de domaine.

• Un serveur membre est un serveur qui fait partie du domaine, mais qui

n’est pas contrôleur de domaine.• Dans Windows NT4, il existe des contrôleurs de domaines

principaux et des contrôleurs de domaines secondaires. Dans windows 2003, tous les contrôleurs de domaine sont au même niveau.

• Les ordinateurs qui exécutent Windows version cliente sont les stations de ce domaine.

EXEMPLE DE DOMAINE

Figure 1 : Domaine Windows 2003.

Contrôleur de domaine

Contrôleur de domaine

Serveur membre

Ordinateurs clients

Domaine Windows 2003

Active Directory

Active Directory

Services d’Annuaire• Un annuaire est une base de données qui contient des informations sur les

différents objets et liens gérés au niveau du domaine

• Le service d’annuaire est un service du réseau qui permet d’utiliser l’annuaire : Active Directory est le service d’annuaire utilisé sur Windows 2003

• Active Directory utilise le système de noms de domaine DNS. Par conséquent, il doit exister un service DNS sur un des serveurs Windows 2003 Server du réseau.

• Active Directory utilise le protocole normalisé LDAP(Lightweight Directory Access

Protocol, ce qui permet d’accéder à d’autres services annuaires comme celui de Novell.

• Active Directory comprend l’annuaire qui stocke les informations relatives aux ressources réseau comme les données utilisateurs, les imprimantes, les serveurs, les bases de données, les groupes, les ordinateurs et les stratégies de sécurités. Toutes ces entités sont désignées sous le nom d’objets.

Structure logique d'Active Directory

• Un objet représente une entité gérée par Active Directory (ordinateur, groupes d'utilisateurs utilisateurs …).

• Chaque objet possède des propriétés appelées attributs. Par exemple les attributs d'un utilisateur sont : son nom, son prénom, son adresse, son e-mail, etc. ..

Structure physique de l’Active Directory

• Chaque contrôleur de domaine stocke une copie complète de toutes les informations Active Directory relatives au domaine.

• Une réplication (copie) de tous les objets d'un domaine se fait automatiquement

sur les autres contrôleurs du domaine.

Contrôleur de domaine Contrôleur de domaine Contrôleur de domaine

Réplication Réplication

Les sites• site est un ensemble de sous-réseaux IP. En

général, un site correspond à un réseau local. Si 2 réseaux locaux sont reliés par une liaison WAN, on crée 2 sites qui peuvent faire partie du même domaine ou non.

Exemple de site appartenant au même domaine

Domaine lepetit.com

Site 2Site 1

Exemple de site appartenant à des domaines différents

Domaine A

Domaine C

Domaine BDomaine D

SITE 1 SITE 2

Arborescence

Annuaire partagéActive Directory

Domaine parentdufour.com

Domaine enfantproduct.dufour.com

Domaine enfantmarkt.dufour.com

Approbation

Approbation

Approbation

Forêt

dumoulin.com

product.dumoulin.comproduct.dufour.commarcket.dufour.com marcket.dumoulin.com

Catalogue global

dufour.com

Relations d'approbation

• Les domaines d'une arborescence sont liés par des approbations transitives réciproques Kerberos. Cela signifie que tout utilisateur reconnu dans un domaine l'est automatiquement dans les autres domaines de l'arborescence. Kerberos est un protocole de sécurité utilisé sur Internet qui permet d'authentifier un utilisateur. Dans Kerberos V5 , les mots de passe en ligne sont encryptés.

Domaine A Domaine C

Domaine B

Relation d'approbation réciproque

Relation d'approbation réciproqueRelation d'approbation réciproque

CONFIGURATION DU CONROLUER DE DOMAINE

• Demarrer----- executer ---- dcpromo

• Votre contrôleur est la première machine d’un nouveau domaine

• Ce nouveau domaine est le domaine parent d’une nouvelle « arborescence »

de domaines, …

• Ce nouveau domaine est le domaine parent d’une nouvelle « arborescence » de domaines, …

… elle-même dans une nouvelle « forêt d’arborescences de domaines »

• Saisissez le nom du domaine Active Directory (exemple ENITE.MA)

Acceptez le nom NETBIOS du domaine (pour compatibilité avec WNT4 et W9x) 

Acceptez les répertoires par défaut pour le stockage des fichiers de l’annuaire

 

• Sélectionnez « Autorisations compatibles uniquement avec les serveurs Windows 2003 » : ceci permettra de passer en mode « natif », pour bénéficier de toutes les fonctionnalités de Windows 2003. Le mode « mixte » restreint ces fonctionnalités, pour rester compatible avec Windows NT4 : il n’est utile que pour faire cohabiter Windows 2003 avec les anciennes versions.

« Mot de passe administrateur de Restauration des services d’annuaire » : ce que vous voulez. Il n’est utilisé que pour la maintenance d’Active Directory (ne pas le confondre avec le vrai compte administrateur du domaine)

• Fin de configuration de l’Active directory

• Configuration du contrôleur du domaine enfant• Dans la fenêtre « Créer une arborescence ou un domaine enfant », choisir

« Créer un nouveau domaine enfant dans une arborescence de domaine existante »

• Il faut donner le nom et le mot de passe du compte administrateur du domaine parent

•

Saisir le nom du domaine parente et enfant :

Le reste des étapes est identique à ceux de la configuration du domaine parent

Intégration d’un poste à un contrôleur de domaine

• cliquer sur « Poste de Travail », bouton droit Propriétés, puis sur l’anglet nom de l’ordinateur

• Cliquer sur le bouton modifier

• Cliquer sur le bouton domaine et saisir le nom du domaine

• Cliquer sur OK

• Un nom et un mot de passe reconnu par le domaine sera demandé pour terminer l’intégration

• Si tout passe bien le message suivant apparaît à l’écran

– BIEN VENUE DANS LE DOMAINE X

Intégration d’un contrôleur supplémentaire

• Dans l’outil configuration serveur, lancer l’assistant d’installation d’Active Directory

• L’assistant démarre , cliquer sur suivant

• Sélectionner l’option :

– Contrôleur de domaine supplémentaire pour un domaine existant

– Saisir– Nom utilisateur Administrateur

– Mot de passe ***************

– Domaine Nom de votre domaine

– Puis entrer le nom complet du domaine existant pour lequel ce serveur deviendra contrôleur de domaine supplémentaire

– Laisser l’emplacement de la base de données et du journal par défaut

– Saisir le mot de passe de restauration

– Un écran de copie de base apparaît pour être synchronisée

– Cliquer sur terminer puis redémarrer votre serveur

Sauvegarde de l’Active Directory

• Pour sauvegarde l’Active Directory :

• Démarrer --- programme --- accessoires --

Outils système --- utilitaire de sauvegarde

• Dans l’assistant de sauvegarde sélectionner :

Ne sauvegarder que les données sur l’état du système

Restauration de l’Active Directory• Pour sauvegarde l’Active Directory :

• Démarrer --- programme --- accessoires -- Outils système --- utilitaire de sauvegarde

• Cliquer sur l’assistant de restauration puis suivant

• Assurer que les connecteurs disques systèmes et État système , au moins sélectionnés

• Cliquer sur avancé puis assurez vous que vous restaurer les points de jonction , dans le cas échant le processus de restauration ne se déroulera pas correctement

• Dans la liste Restaurer les fichiers vers , cliquer sur Emplacement d’origine puis OK pour terminer le processus

• En fin le système va vous inviter à redémarrer votre ordinateur

• A l’invite du commandes , taper ntdsutil puis ENTREE

• Taper ensuite authoritative restore puis ENTREE

SUPPRESSION D’UN CONTROLEUR DU DOMAINE

• Ouvrir l’assistant de l’installation de l’active directory par dcpromo

• Dans la page de suppression cocher supprimer le contrôleur de domaine , dans le cas échéant cocher la case le serveur est le dernier contrôleur du domaine puis cliquer sur suivant

• Dans la page mot de passe , saisir le mot de passe de l’administrateur puis confirmer le

• Dans la page du résumé , passer en revue le résumé puis cliquer sur suivant