Architecture Active Directory (4/4)

  • Article
Sur cette page

Utilisation de la délégation et de la stratégie de groupe avec les unités d'organisation, les domaines et les sites Utilisation de la délégation et de la stratégie de groupe avec les unités d'organisation, les domaines et les sites
Délégation de conteneur Délégation de conteneur
Stratégie de groupe Stratégie de groupe
Interopérabilité Interopérabilité
Protocole LDAP Protocole LDAP
Active Directory et LDAP Active Directory et LDAP
Interfaces de programmation d'applications Interfaces de programmation d'applications
ADSI ADSI
API LDAP C API LDAP C
Synchronisation de Active Directory avec d'autres services d'annuaire Synchronisation de Active Directory avec d'autres services d'annuaire
Active Directory et Microsoft Exchange Active Directory et Microsoft Exchange
Active Directory et Novell NDS et NetWare Active Directory et Novell NDS et NetWare
Active Directory et Lotus Notes Active Directory et Lotus Notes
Active Directory et GroupWise Active Directory et GroupWise
Active Directory et LDIFDE Active Directory et LDIFDE
Rôle des conteneurs virtuels et extérieurs dans l'interopérabilité Rôle des conteneurs virtuels et extérieurs dans l'interopérabilité
Rôle de Kerberos dans l'interopérabilité Rôle de Kerberos dans l'interopérabilité
Compatibilité ascendante avec le système d'exploitation Windows NT Compatibilité ascendante avec le système d'exploitation Windows NT
Résumé Résumé
Pour plus d'informations Pour plus d'informations
Annexe : Outils Annexe : Outils
Microsoft Management Console Microsoft Management Console
Composants logiciels enfichables Active Directory Composants logiciels enfichables Active Directory
Nouvelles procédures d'exécution de tâches courantes Nouvelles procédures d'exécution de tâches courantes
Outils de ligne de commande Active Directory Outils de ligne de commande Active Directory
Page de référence des commandes Windows 2000 Page de référence des commandes Windows 2000
ADSI ADSI

Utilisation de la délégation et de la stratégie de groupe avec les unités d'organisation, les domaines et les sites

Vous pouvez déléguer des autorisations administratives pour les conteneurs Active Directory suivants, auxquels vous pouvez également associer des stratégies de groupe :

  • unités d'organisation

  • domaines

  • sites

L'unité d'organisation est le plus petit conteneur Windows 2000 auquel vous pouvez déléguer de l'autorité et appliquer une stratégie de groupe16. La délégation comme la stratégie de groupe sont des fonctionnalités de sécurité du système d'exploitation Windows 2000. Ce document décrit brièvement ces fonctionnalités du stricte point de vue de l'architecture pour démontrer que la structure de Active Directory détermine la manière d'utiliser la délégation et la stratégie de groupe des conteneurs.

L'attribution d'autorité administrative à des unités d'organisation, à des domaines ou à des sites vous permet de déléguer l'administration des utilisateurs et des ressources. L'attribution d'objets Stratégie de groupe à l'un ou l'autre de ces trois types de conteneurs vous permet de définir des configurations de bureau et une politique de sécurité pour les utilisateurs et les ordinateurs du conteneur. Les deux sous-sections suivantes abordent ces thèmes de manière détaillée.

Délégation de conteneur

Dans le système d'exploitation Windows 2000, la délégation est ce qui permet à une autorité administrative supérieure d'accorder des droits administratifs sur des unités d'organisation, des domaines ou des sites à des groupes d'utilisateurs (ou à des utilisateurs individuels). Vous pouvez ainsi réduire le nombre d'administrateurs disposant d'une autorité globale sur des segments importants de la population des utilisateurs. Déléguer le contrôle d'un conteneur vous permet de spécifier qui dispose des autorisations nécessaires pour accéder à cet objet ou à ses objets enfants ou pour les modifier. La délégation est l'une des fonctionnalités de sécurité les plus importantes de Active Directory.

Délégation de domaine et d'unité d'organisation

Dans le système d'exploitation Windows NT 4.0, les administrateurs peuvent déléguer une partie de l'administration en créant de multiples domaines qui leur permettent de disposer d'ensembles d'administrateurs de domaine distincts. Dans Windows 2000, les unités d'organisation sont plus faciles à créer, à supprimer, à déplacer et à modifier que les domaines, et sont par conséquent plus adaptées à la délégation.

Pour déléguer de l'autorité administrative (à part l'autorité sur les sites, abordée dans la section suivante), vous accordez à un groupe des droits spécifiques sur un domaine ou une unité d'organisation en modifiant la liste de contrôle d'accès discrétionnaire (DACL) du conteneur17. Par défaut, les membres du groupe de sécurité des administrateurs de domaine ont autorité sur le domaine dans son ensemble, mais vous pouvez restreindre l'appartenance à ce groupe à un nombre limité d'administrateurs en qui vous avez la plus grande confiance. Pour créer des administrateurs à champ d'action limité, vous pouvez déléguer de l'autorité à tous les niveaux de votre organisation, jusqu'au niveau le plus bas, en créant un arborescence d'unités d'organisation au sein de chaque domaine et en déléguant de l'autorité sur des parties de la sous-arborescence d'unités d'organisation.

Les administrateurs de domaine disposent d'un contrôle total sur tous les objets de leur domaine. Par contre, ils n'ont aucun droit administratif sur les objets des autres domaines18.

Vous pouvez déléguer l'administration d'un domaine ou d'une unité d'organisation à l'aide de l'Assistant Délégation de contrôle, disponible dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Cliquez à l'aide du bouton droit de la souris sur le domaine ou l'unité d'organisation de votre choix, sélectionnez Déléguer le contrôle, ajoutez les groupes (ou les utilisateurs) auxquels vous souhaitez déléguer le contrôle, puis déléguez les tâches courantes reprises dans la liste ou créez une tâche courante à déléguer. Le tableau suivant reprend les tâches courantes que vous pouvez déléguer.

Tâches courantes de domaine que vous pouvez déléguer
 Tâches courantes d'unité d'organisation que vous pouvez déléguer
Associer un ordinateur à un domaine
Administrer les liens de stratégie de groupe
 Créer, supprimer et administrer les comptes d'utilisateur
Réinitialiser les mots de passe des comptes d'utilisateur
Lire toutes les données utilisateur
Créer, supprimer et administrer les groupes
Modifier l'appartenance à un groupe
Administrer les imprimantes
Créer et supprimer des imprimantes
Administrer les liens de stratégie de groupe

En utilisant une combinaison d'unités d'organisation, de groupes et d'autorisations, vous pouvez définir l'étendue administrative la plus appropriée à un groupe donné : un domaine complet, une sous-arborescence d'unités d'organisation ou une unité d'organisation unique. Par exemple, il se peut que vous souhaitiez créer une unité d'organisation qui vous permette d'accorder le contrôle administratif à tous les utilisateurs et à tous les comptes d'ordinateur de tous les services d'un même service, tel que le service Comptabilité. D'autre part, il se peut que vous vouliez accorder le contrôle administratif à certaines ressources du service, telles que les comptes d'ordinateur. Enfin, une autre possibilité consisterait à accorder le contrôle administratif à l'unité d'organisation Comptabilité, mais pas aux unités d'organisation qu'elle contient.

Dans la mesure où les unités d'organisation sont utilisées pour la délégation administrative et ne constituent pas elles-mêmes des entités de sécurité, c'est l'unité d'organisation parent d'un objet utilisateur qui indique qui administre cet objet. Par contre, elle *n'*indique pas à quelles ressources cet utilisateur particulier peut accéder.

Délégation de site

Vous utilisez Sites et services Active Directory pour déléguer le contrôle sur des sites, des conteneurs de serveur, des protocoles de transfert inter-sites (IP ou SMTP) ou des sous-réseaux. La délégation de contrôle sur l'une ou l'autre de ces entités donne à l'administrateur délégué la possibilité de manipuler cette entité, mais pas celle d'administrer les utilisateurs ou les ordinateurs qu'elle contient.

Par exemple, lorsque vous déléguez le contrôle d'un site, vous pouvez choisir de déléguer le contrôle de tous les objets, ou vous pouvez vous contenter de déléguer le contrôle d'un ou de plusieurs objets situés dans ce site. Les objets dont vous pouvez déléguer le contrôle sont les objets Utilisateur, Ordinateur, Groupe, Imprimante, Unité d'organisation, Dossier partagé, Site, Lien de sites, Pont de lien de sites, etc. Vous êtes ensuite invité à sélectionner la portée des autorisations que vous voulez déléguer (générale, spécifique à une propriété ou simplement la création/suppression d'objets enfants spécifiques). Si vous spécifiez une portée générale, vous êtes invité à accorder une ou plusieurs des autorisations suivantes : Contrôle total, Lecture, Écriture, Création de tous les objets enfants, Suppression de tous les objets enfants, Lecture de toutes les propriétés, Écriture de toutes les propriétés.

Stratégie de groupe

Dans Windows NT 4.0, vous utilisez l'éditeur de stratégie système pour définir les configurations utilisateur, groupe et ordinateur enregistrées dans la base de données du registre Windows NT. Dans Windows 2000, la stratégie de groupe définit une gamme plus large de composants gérables par les administrateurs dans l'environnement utilisateur. Parmi ces composants se trouvent des paramètres pour les stratégies de registre, des options de sécurité, des options de déploiement de logiciel, des scripts (pour le démarrage et l'arrêt des ordinateurs et pour la connexion et la déconnexion des utilisateurs) et une redirection de dossiers spéciaux19.

Le système applique les paramètres de configuration de stratégie de groupe aux ordinateurs au moment de l'amorçage et aux utilisateurs lorsqu'ils ouvrent une session. Pour appliquer les paramètres de stratégie de groupe aux utilisateurs ou aux ordinateurs dans les sites, les domaines et les unités d'organisation, vous devez lier l'objet Stratégie de groupe au conteneur de Active Directory des utilisateurs ou des ordinateurs concernés.

Par défaut, la stratégie de groupe affecte tous les utilisateurs et tous les ordinateurs du conteneur lié. Utilisez l'appartenance aux groupes de sécurité pour retenir les objets Stratégie de groupe qui affectent les utilisateurs et les ordinateurs d'une unité d'organisation, d'un domaine ou d'un site donné. Vous pouvez ainsi appliquer la stratégie à un niveau plus granulaire. En d'autres termes, l'utilisation des groupes de sécurité vous permet d'appliquer la stratégie à des ensembles d'objets spécifiques au sein d'un conteneur. Pour filtrer la stratégie de groupe de cette manière, vous devez utiliser l'onglet Sécurité de la page Propriétés d'un objet Stratégie de groupe, afin de décider qui peut lire cet objet. L'objet n'est appliqué qu'aux utilisateurs dont les paramètres Application de la stratégie de groupe et Lecture sont définis sur Autorisé (utilisateur membre d'un groupe de sécurité). Toutefois, dans la mesure où les utilisateurs ordinaires disposent de ces autorisations par défaut, la stratégie de groupe affecte tous les utilisateurs et tous les ordinateurs du conteneur lié à moins que vous ne modifiiez explicitement ces autorisations.

L'emplacement d'un groupe de sécurité dans Active Directory n'a aucun impact sur la stratégie de groupe. Pour le conteneur spécifique auquel l'objet Stratégie de groupe est appliqué, les paramètres de l'objet Stratégie de groupe déterminent :

  • les ressources de domaine (telles que les applications) dont les utilisateurs peuvent disposer ;

  • la configuration d'utilisation de ces ressources de domaine.

Par exemple, un objet Stratégie de groupe peut déterminer les applications dont les utilisateurs peuvent disposer sur leur ordinateur lorsqu'ils ouvrent une session, le nombre d'utilisateurs qui peuvent se connecter à Microsoft SQL Server quand il démarre sur un serveur, ou encore les services auxquels les utilisateurs peuvent accéder lorsqu'ils migrent vers des services ou des groupes différents. La stratégie de groupe vous permet d'administrer un nombre restreint d'objets Stratégie de groupe plutôt qu'un grand nombre d'utilisateurs et d'ordinateurs.

Les sites, les domaines et les unités d'organisation, contrairement aux groupes de sécurité, n'accordent pas d'appartenance. Au contraire, ils contiennent et organisent des objets d'annuaire. Vous pouvez utiliser les groupes de sécurité pour accorder des droits et des autorisations aux utilisateurs, puis utiliser les trois types de conteneurs Active Directory pour regrouper les utilisateurs et les ordinateurs et affecter des paramètres de stratégie de groupe.

Dans la mesure où l'accès aux ressources est accordé via des groupes de sécurité, vous jugerez peut-être qu'il est plus efficace d'utiliser les groupes de sécurité pour représenter la structure d'organisation de votre entreprise plutôt qu'utiliser les domaines ou les unités d'organisation pour refléter sa structure technique.

Par défaut, les paramètres de stratégie établis à l'échelle du domaine ou appliqués à une unité d'organisation contenant d'autres unités d'organisation sont hérités par les conteneurs enfants, à moins que l'administrateur ne spécifie explicitement que l'héritage ne s'applique pas à l'un ou plusieurs de ces derniers.

Délégation du contrôle de la stratégie de groupe

Les administrateurs réseau (les membres des groupes Administrateurs d'entreprise et Administrateurs de domaine) peuvent utiliser l'onglet Sécurité à la page Propriétés de l'objet Stratégie de groupe pour déterminer les autres groupes d'administrateurs qui peuvent modifier les paramètres de stratégie dans les objets Stratégie de groupe. Pour ce faire, un administrateur réseau doit d'abord définir des groupes d'administrateurs (par exemple celui des administrateurs du marketing), puis leur accorder l'accès en lecture/écriture à des objets Stratégie de groupe précis. Le fait qu'il dispose du contrôle total sur un objet Stratégie de groupe n'autorise pas un administrateur à le lier à un site, à un domaine ou à une unité d'organisation. Toutefois, les administrateurs réseau peuvent accorder ce pouvoir à l'aide de l'Assistant Délégation de contrôle.

Windows 2000 vous permet de déléguer de manière indépendante les trois tâches de stratégie de groupe suivantes :

  • gestion des liens de stratégie de groupe pour un site, un domaine ou une unité d'organisation ;

  • création d'objets Stratégie de groupe ;

  • modification d'objets Stratégie de groupe.

L'outil Stratégie de groupe, comme la plupart des autres outils d'administration de Windows 2000, est hébergées dans les consoles MMC. Les droits de créer, de configurer et d'utiliser les consoles MMC ont par conséquent des implications stratégiques. Vous pouvez contrôler ces droits à l'aide de Stratégie de groupe sous

<nom d'objet Stratégie de groupe>/User Configuration/Administrative
Templates/Windows Components/Microsoft Management Console/

et ses sous-dossiers.

Le tableau 4 donne la liste des paramètres d'autorisation de sécurité pour un objet Stratégie de groupe.

Tableau 4. Paramètres d'autorisation de sécurité pour un objet Stratégie de groupe

Groupes (ou utilisateurs)
 Autorisation de sécurité
Utilisateur authentifié
 Lecture avec ACE Application de stratégie de groupe
Administrateurs de domaine
Administrateurs d'entreprise
Système local de créateur propriétaire
 Contrôle total sans ACE Application de stratégie de groupe

Remarque Par défaut, les administrateurs sont également des utilisateurs authentifiés, ce qui signifie que leur attribut Application de stratégie de groupe est activé.

Pour des informations détaillées sur Stratégie de groupe, voir la section "Pour plus d'informations" à la fin de ce document.

Interopérabilité

De nombreuses entreprises dépendent d'un ensemble de technologies variées qui doivent collaborer. Active Directory prend en charge de nombreuses normes afin d'assurer l'interopérabilité de l'environnement Windows 2000 avec d'autres produits Microsoft et avec une large gamme de produits créés par d'autres éditeurs ou fabricants.

Cette section décrit les types d'interopérabilité suivants, pris en charge par Active Directory :

  • Protocole LDAP

  • Interfaces de programmation d'applications (API)

  • Synchronisation de Active Directory avec d'autres services d'annuaire

  • Rôle des conteneurs virtuels et extérieurs dans l'interopérabilité

  • Rôle de Kerberos dans l'interopérabilité

  • Compatibilité ascendante avec le système d'exploitation Windows NT

Protocole LDAP

Le protocole LDAP (Lightweight Directory Access Protocol) est la norme industrielle de l'accès aux annuaires. L'IETF (Internet Engineering Task Force) étudie actuellement LDAP pour en faire une norme Internet.

Active Directory et LDAP

LDAP est le protocole principal d'accès aux annuaires qui permet d'ajouter, de modifier et de supprimer des données enregistrées dans Active Directory, et qui permet en outre de rechercher et de récupérer ces données. Le système d'exploitation Windows 2000 prend en charge les versions 2 et 320 de LDAP. LDAP définit comment un client d'annuaire peut accéder à un serveur d'annuaire, mais aussi comment il peut effectuer des opérations d'annuaire et partager des données d'annuaire. En d'autres termes, les clients Active Directory doivent utiliser LDAP pour obtenir des données de Active Directory ou pour y maintenir des données.

LDAP permet à Active Directory d'être interopérable avec d'autres applications clientes conformes à cette norme. Si vous disposez des autorisations nécessaires, vous pouvez utiliser n'importe quelle application cliente conforme à LDAP pour parcourir et interroger Active Directory ou pour y ajouter, y modifier ou y supprimer des données.

Interfaces de programmation d'applications

Vous pouvez utiliser les interfaces de programmation d'applications (API) suivantes pour accéder aux données de Active Directory :

  • ADSI (Active Directory Service Interface).

  • API LDAP C.

Ces API sont décrites dans les deux sous-sections suivantes.

ADSI

ADSI (Active Directory Service Interface) permet d'accéder à Active Directory en présentant les objets enregistrés dans l'annuaire comme des objets COM (Component Object Model). Un objet d'annuaire est ainsi manipulé à l'aide des méthodes disponibles dans une ou plusieurs des interfaces COM. ADSI dispose d'une architecture fournisseur qui permet l'accès COM à différents types d'annuaires pour lesquels un fournisseur existe.

À l'heure actuelle, Microsoft propose des fournisseurs ADSI pour Novell NDS (NetWare Directory Services) et NetWare 3, Windows NT, LDAP et pour la métabase IIS (Internet Information Services). (La métabase IIS rassemble les paramètres de configuration d'IIS.) Le fournisseur LDAP peut être utilisé avec n'importe quel annuaire LDAP, dont Active Directory, Microsoft Exchange 5.5 ou encore Netscape.

Vous pouvez utiliser ADSI à partir de nombreux outils différents, des applications Microsoft Office à C/C++. ADSI est extensible, si bien que vous pouvez ajouter des fonctionnalités à un objet ADSI pour prendre en charge de nouvelles propriétés et de nouvelles méthodes. Par exemple, vous pouvez ajouter une méthode à l'objet utilisateur qui crée une boîte aux lettres Exchange pour un utilisateur lorsque cette méthode est appelée. ADSI possède un modèle de programmation très simple. Il permet de supprimer la surcharge d'administration des données caractéristique des interfaces autres que COM, comme les API LDAP C. ADSI est entièrement scriptable et permet donc de développer facilement des applications Web étoffées. ADSI prend en charge ADO (ActiveX Data Objects) et OLE DB (Object Linking and Embedding Database) pour la formulation de requêtes.

Les développeurs et les administrateurs peuvent ajouter des objets et des attributs à Active Directory en créant des scripts basés sur ADSI (ainsi que des scripts basés sur LDIFDE, abordé plus loin dans ce document).

API LDAP C

L'API LDAP C, définie dans la norme Internet RFC 1823, rassemble des API écrites en C de bas niveau permettant une interface avec LDAP. Microsoft prend en charge les API LDAP C sur toutes les plates-formes Windows.

Les développeurs peuvent choisir d'écrire leurs applications compatibles avec Active Directory en utilisant des API LDAP C ou ADSI. Ils utilisent plus souvent les API LDAP C pour faciliter la portabilité des applications compatibles annuaire sur la plate-forme Windows. D'un autre côté, ADSI est un langage plus puissant et plus approprié pour les développeurs qui écrivent du code compatible annuaires sur la plate-forme Windows.

Synchronisation de Active Directory avec d'autres services d'annuaire

Microsoft fournit des services de synchronisation d'annuaires qui vous permettent de synchroniser Active Directory avec Microsoft Exchange 5.5, Novell NDS, Novell NetWare, Lotus Notes et GroupWise. En outre, des utilitaires de ligne de commande vous permettent d'importer et d'exporter des données d'annuaire à partir et vers d'autres services d'annuaire.

Active Directory et Microsoft Exchange

Le système d'exploitation Windows 2000 dispose du service Connecteur Active Directory qui permet une synchronisation bidirectionnelle avec Microsoft Exchange 5.5. Le connecteur Active Directory offre un mappage étoffé des objets et des attributs lorsqu'il synchronise les données entre les deux annuaires. Pour plus d'informations sur le connecteur Active Directory, voir la section "Pour plus d'informations" à la fin de ce document.

Active Directory et Novell NDS et NetWare

Microsoft compte livrer, dans le cadre des Services pour Netware 5.0, un service de synchronisation d'annuaire qui permet une synchronisation bidirectionnelle entre Active Directory et les produits Novell NDS et NetWare.

Active Directory et Lotus Notes

Dans le cadre de Platinum, le nom de code de la prochaine version de Microsoft Exchange, Microsoft compte livrer un service de synchronisation d'annuaire qui effectuera une synchronisation bidirectionnelle avec Lotus Notes en vue de synchroniser le courrier électronique et d'autres attributs courants.

Active Directory et GroupWise

Dans le cadre de Platinum, le nom de code de la prochaine version de Microsoft Exchange, Microsoft compte livrer un service de synchronisation d'annuaire qui effectuera une synchronisation bidirectionnelle avec GroupWise en vue de synchroniser le courrier électronique et d'autres attributs courants.

Active Directory et LDIFDE

Le système d'exploitation Windows 2000 fournit l'utilitaire de ligne de commande LDIFDE pour la prise en charge de l'importation et de l'exportation des données d'annuaire. LDIF (LDAP Data Interchange Format) est un projet de norme Internet, devenu une norme industrielle, qui définit le format de fichier utilisé pour échanger des données d'annuaire. LDIFDE est donc l'utilitaire Windows 2000 qui prend en charge l'importation de données dans l'annuaire et l'exportation de données à partir de l'annuaire en utilisant LDIF. LDIFDE vous permet d'exporter des données de Active Directory au format LDIF de sorte que vous puissiez ensuite les importer dans un autre annuaire. Vous pouvez aussi utiliser LDIFDE pour importer des données d'annuaire à partir d'un autre annuaire.

LDIFDE vous permet d'effectuer des traitements par lots, tels que l'ajout, la suppression, le changement de nom ou la modification de données. Vous pouvez également remplir Active Directory avec des données obtenues à partir d'autres sources, telles que d'autres services d'annuaire. En outre, dans la mesure où le schéma de Active Directory est enregistré dans l'annuaire lui-même, vous pouvez utiliser LDIFDE pour sauvegarder ou étendre le schéma. Pour obtenir une liste des paramètres LDIFDE et savoir à quoi ils servent, voir les rubriques d'aide de Windows 2000. Pour des informations sur l'utilisation de LDIFDE pour des traitements par lots avec Active Directory, voir la section "Pour plus d'informations" à la fin de ce document.

Rôle des conteneurs virtuels et extérieurs dans l'interopérabilité

Un administrateur peut créer un objet de renvoi qui pointe sur un serveur dans un annuaire extérieur à la forêt. Lorsqu'un utilisateur effectue une recherche dans une sous-arborescence qui contient cet objet de renvoi, Active Directory renvoie un lien vers ce serveur parmi les résultats et le client LDAP peut suivre le lien pour récupérer les données requises par l'utilisateur.

De telles références sont des objets conteneurs Active Directory qui renvoient à un annuaire extérieur à la forêt. Ici, une référence interne renvoie à un annuaire extérieur qui apparaît dans l'espace de noms Active Directory comme enfant d'un objet Active Directory existant, alors qu'une référence externe renvoie à un annuaire extérieur qui n'apparaît pas en tant qu'enfant dans l'espace de noms Active Directory.

Tant pour les références internes qu'externes, Active Directory contient le nom de DNS d'un serveur qui héberge une copie de l'annuaire extérieur ainsi que le nom unique de la racine de l'annuaire extérieur à partir de laquelle les opérations de recherche doivent débuter.

Rôle de Kerberos dans l'interopérabilité

Le système d'exploitation Windows 2000 prend en charge de nombreuses configurations pour permettre une interopérabilité entre les plates-formes :

  • Clients. Un contrôleur de domaine Windows 2000 peut authentifier les systèmes clients qui utilisent des mises en œuvre de Kerberos (RFC 1510), y compris s'ils exécutent un système d'exploitation autre que Windows 2000. Les comptes d'utilisateur et d'ordinateur Windows 2000 peuvent être utilisés comme des noms principaux Kerberos pour des services UNIX.

  • Clients et services UNIX. Des clients et des serveurs UNIX peuvent disposer de comptes Active Directory au sein d'un domaine Windows 2000 et peuvent donc être authentifiés par un contrôleur de domaine. Dans un tel scénario, un nom principal Kerberos est mappé sur un compte d'utilisateur ou d'ordinateur Windows 2000.

  • Applications et systèmes d'exploitation. Les applications clientes pour Win32 et pour les systèmes d'exploitation autres que Windows 2000 basés sur l'API GSS (General Security Service) peuvent obtenir des tickets de session pour des services au sein d'un domaine Windows 2000.

Dans un environnement qui utilise déjà un domaine Kerberos, le système d'exploitation Windows 2000 prend en charge l'interopérabilité avec les services Kerberos :

  • Domaine Kerberos. Les systèmes Windows 2000 Professionnel peuvent s'authentifier auprès d'un serveur Kerberos (RFC 1510) au sein d'un domaine approuvé Kerberos avec une connexion commune au serveur et à un compte local Windows 2000 Professionnel.

  • Relations d'approbation avec les domaines Kerberos. Il est possible d'établir une relation d'approbation entre un domaine Windows 2000 et un domaine Kerberos. En d'autres termes, un client d'un domaine Kerberos peut s'authentifier auprès d'un domaine Active Directory pour accéder aux ressources réseau de ce domaine.

Compatibilité ascendante avec le système d'exploitation Windows NT

Un type particulier d'interopérabilité consiste à maintenir la compatibilité ascendante avec les versions précédentes du système d'exploitation actuel. Le système d'exploitation Windows 2000 s'installe par défaut dans une configuration réseau à mode mixte. Un domaine à mode mixte est un ensemble d'ordinateurs mis en réseau qui exécutent à la fois des contrôleurs de domaine Windows NT et Windows 2000. Dans la mesure où Active Directory prend en charge ce mode mixte, vous pouvez mettre à niveau des domaines et des ordinateurs au rythme qui vous convient, selon les besoins de votre organisation.

Active Directory prend en charge le protocole d'authentification NTLM (Windows NT LAN Manager), utilisé par Windows NT, ce qui signifie que les utilisateurs et les ordinateurs Windows NT autorisés peuvent se connecter à un domaine Windows 2000 et accéder à ses ressources. Pour les clients Windows NT et les clients Windows 95 ou Windows 98 qui n'exécutent pas le logiciel client Active Directory, un domaine Windows 2000 apparaît comme un domaine Windows NT Server 4.0.

Résumé

L'introduction de Active Directory est sans aucun doute l'amélioration la plus significative du système d'exploitation Windows 2000. Active Directory permet de centraliser et de simplifier l'administration réseau et permet ainsi au réseau de garantir la prise en charge des objectifs de l'entreprise.

Active Directory enregistre les informations sur les objets du réseau et les met à la disponibilité des administrateurs, des utilisateurs et des applications. Il constitue un espace de nom intégré avec le système de noms de domaine (DNS, Domain Name System) d'Internet, et permet aussi de définir un serveur comme contrôleur de domaine.

Pour structurer le réseau Active Directory et ses objets, vous pouvez utiliser des domaines, des arborescences, des forêts, des relations d'approbation, des unités d'organisation et des sites. Vous pouvez déléguer la responsabilité administrative des unités d'organisation, des domaines ou des sites aux personnes ou aux groupes de votre choix, et vous pouvez attribuer des paramètres de configuration à ces trois conteneurs Active Directory. Une telle architecture permet aux administrateurs d'administrer le réseau de sorte que les utilisateurs puissent se consacrer totalement aux objectifs de leur entreprise.

De nos jours, il est rare qu'une entreprise ne dépende pas de diverses technologies qui doivent fonctionner ensemble. Active Directory est basé sur des protocoles d'accès aux annuaires standard, qui, avec de multiples API, lui permettent d'interagir avec d'autres services d'annuaire et une large gamme d'applications tierces. Enfin, Active Directory est capable de synchroniser des données avec Microsoft Exchange et fournit des utilitaires de ligne de commande qui permettent d'importer et d'exporter des données d'autres services d'annuaire.

Pour plus d'informations

Pour obtenir les informations les plus récentes sur le système d'exploitation Windows 2000, consultez Microsoft TechNet ou le site Web de Microsoft Windows 2000 Server.

Vous pouvez également explorer les liens suivants :

Annexe : Outils

Cette annexe présente les logiciels que vous pouvez utiliser pour effectuer les tâches associées à Active Directory.

Microsoft Management Console

Dans le système d'exploitation Windows 2000 Server, Microsoft Management Console (MMC) fournit des interfaces cohérentes qui permettent aux administrateurs de visualiser les fonctions réseau et d'utiliser les outils d'administration. Qu'ils soient responsables d'un seul poste de travail ou d'un réseau d'ordinateurs, les administrateurs utilisent la même console. MMC héberge des composants logiciels enfichables, qui traitent de tâches d'administration réseau spécifiques. Quatre de ces composants logiciels enfichables sont des outils Active Directory.

Composants logiciels enfichables Active Directory

Les outils d'administration Active Directory, livrés avec le système d'exploitation Windows 2000 Server, simplifient l'administration des services d'annuaire. Vous pouvez utiliser les outils standard ou MMC pour créer des outils personnalisés destinées à une tâche d'administration spécifique. Vous pouvez combiner plusieurs outils en une console unique. Vous pouvez également attribuer des outils personnalisés à des administrateurs individuels responsables de tâches administratives spécifiques.

Les composants logiciels enfichables Active Directory suivants sont disponibles dans le menu Outils d'administration Windows 2000 Server de tous les contrôleurs de domaine Windows 2000 :

  • Utilisateurs et ordinateurs Active Directory

  • Domaines et approbations Active Directory

  • Sites et services Active Directory

Le quatrième composant logiciel enfichable Active Directory est :

  • Schéma Active Directory

Il est recommandé d'étendre le schéma de Active Directory par programme, par l'intermédiaire des ADSI ou de l'utilitaire LDIFDE. Toutefois, à des fins de développement et de test, vous pouvez également visualiser et modifier le schéma de Active Directory avec le composant logiciel enfichable Schéma Active Directory.

Schéma Active Directory n'est pas accessible par le menu Outils d'administration Windows 2000 Server. Vous devez installer les outils d'administration Windows 2000 à partir du CD-ROM Windows 2000 Server et les ajouter à une console MMC.

Il existe un cinquième composant logiciel enfichable lié à Active Directory :

  • Stratégie de groupe

La mise en œuvre de stratégies de groupe est une tâche liée à la gestion des utilisateurs, des ordinateurs et des groupes dans Active Directory. Les objets Stratégie de groupe, qui contiennent des paramètres de stratégie, contrôlent le paramétrage des utilisateurs et des ordinateurs dans les sites, les domaines et les unités d'organisation. Pour créer ou modifier des objets Stratégie de groupe, vous devez utilisez le composant logiciel enfichable Stratégie de groupe, auquel vous accédez par le complément Utilisateurs et ordinateurs Active Directory ou Sites et services Active Directory (selon la tâche que vous voulez exécuter).

Pour utiliser les outils d'administration Active Directory à distance, à partir d'un ordinateur qui n'est pas un contrôleur de domaine (par exemple, un ordinateur Windows 2000 Professionnel), vous devez installer Outils d'administration Windows 2000.

Nouvelles procédures d'exécution de tâches courantes

Le tableau 5 liste les tâches que vous pouvez exécuter à l'aide des composants logiciels enfichables Active Directory et des outils d'administration qui s'y rapportent. Pour les utilisateurs du système d'exploitation Windows NT, le tableau indique également où ces tâches sont exécutées lorsqu'ils utilisent les outils d'administration livrés avec Windows NT Server 4.0.

Tableau 5. Tâches exécutées à l'aide des outils Active Directory et Stratégie de groupe

Si vous souhaitez :
 Avec Windows NT 4.0, utilisez le composant suivant :
 Avec Windows 2000, utilisez le composant suivant :
installer un contrôleur de domaine
 Configuration Windows
 Assistant Installation de Active Directory (accessible à partir de Configurez votre serveur)
administrer des comptes d'utilisateur
 Gestionnaire des utilisateurs
 Utilisateurs et ordinateurs Active Directory
administrer des groupes
 Gestionnaire des utilisateurs
 Utilisateurs et ordinateurs Active Directory
administrer des comptes d'ordinateur
 Gestionnaire de serveur
 Utilisateurs et ordinateurs Active Directory
ajouter un ordinateur à un domaine
 Gestionnaire de serveurs
 Utilisateurs et ordinateurs Active Directory
créer ou administrer des relations d'approbation
 Gestionnaire des utilisateurs
 Domaines et approbations Active Directory
administrer une stratégie de compte
 Gestionnaire des utilisateurs
 Utilisateurs et ordinateurs Active Directory
administrer les droits de l'utilisateur
 Gestionnaire des utilisateurs
 Utilisateurs et ordinateurs Active Directory :
modifiez l'objet Stratégie de groupe du domaine ou de l'unité d'organisation contenant les ordinateurs auxquels les droits de l'utilisateur s'appliquent.
administrer une stratégie d'audit
 Gestionnaire d'utilisateurs
 Utilisateurs et ordinateurs Active Directory :
modifiez l'objet Stratégie de groupe attribué à l'unité d'organisation des contrôleurs de domaine.
appliquer des stratégies à des utilisateurs ou à des ordinateurs dans un site
 Éditeur de stratégie système
 Stratégie de groupe, accessible à partir du complément Sites et services Active Directory
appliquer des stratégies à des utilisateurs ou des ordinateurs dans un domaine
 Éditeur de stratégie système
 Stratégie de groupe, accessible à partir du complément Utilisateurs et ordinateurs Active Directory
appliquer des stratégies à des utilisateurs ou à des ordinateurs dans une unité d'organisation
 Sans objet
 Stratégie de groupe, accessible à partir du complément Utilisateurs et ordinateurs Active Directory
utiliser des groupes de sécurité pour filtrer la portée d'une stratégie
 Sans objet
 Modifier l'entrée autorisation pour Appliquer la stratégie de groupe sous l'onglet Sécurité à la page Propriétés de l'objet Stratégie de groupe.

Outils de ligne de commande Active Directory

Les administrateurs avancés et les spécialistes de la maintenance réseau peuvent également utiliser toute une série d'outils de ligne de commande pour configurer, administrer et dépanner Active Directory. Ces outils sont connus sous le nom d'Outils de support et sont disponibles sur le CD-ROM de Windows 2000 Server dans le dossier \SUPPORT\RESKIT. Ils sont décrits dans le tableau 6.

Tableau 6. Outils de ligne de commande associés à Active Directory

Outil
 Description
MoveTree
 Permet de déplacer des objets d'un domaine à un autre.
SIDWalker
 Permet d'appliquer les listes de contrôle d'accès à des objets qui appartenaient à des comptes déplacés, isolés ou supprimés.
LDP
 Permet d'effectuer des opérations LDAP par rapport à Active Directory. Cet outil dispose d'une interface utilisateur graphique.
DNSCMD
 Permet de vérifier l'inscription dynamique des enregistrements de ressources DNS, y compris la mise à jour sécurisée du DNS, ainsi que la suppression des enregistrements de ressources.
DSACLS
 Permet de visualiser ou de modifier les listes de contrôle d'accès des objets d'annuaire.
NETDOM
 Permet le traitement par lots des approbations, l'ajout de nouveaux ordinateurs aux domaines, la vérification des approbations et des canaux sécurisés.
NETDIAG
 Permet de vérifier les fonctions de réseau et de services distribués de bout en bout.
NLTest
 Permet de vérifier que le localisateur et le canal sécurisé fonctionnent.
REPAdmin
 Permet de vérifier la cohérence de réplication entre partenaires de réplication, de surveiller le statut de réplication, d'afficher les métadonnées de réplication, de forcer des événements de réplication et de forcer Knowledge Consistency Checker (KCC) à recalculer la topologie de réplication.
REPLMon
 Permet d'afficher la topologie de réplication, de surveiller l'état de la réplication (y compris les stratégies de groupe), de forcer des événements de réplication et de forcer Knowledge Consistency Checker (KCC) à recalculer la topologie de réplication. Cet outil dispose d'une interface utilisateur graphique.
DSAStat
 Permet de comparer les données d'annuaire sur les contrôleurs de domaine et de détecter toute différence.
ADSIEdit
 Composant logiciel enfichable MMC utilisé pour visualiser tous les objets de l'annuaire (y compris les données de schéma et de configuration), modifier les objets et appliquer des listes de contrôle d'accès aux objets.
SDCheck
 Permet de vérifier la propagation et la réplication des listes de contrôle d'accès pour des objets d'annuaire spécifiques. Cet outil aide l'administrateur à déterminer si l'héritage des listes de contrôle d'accès est correct et si les modifications des listes sont bien répliquées d'un contrôleur de domaine à l'autre.
ACLDiag
 Permet de déterminer si un utilisateur dispose ou non des droits d'accès sur un objet d'annuaire. Cet outil peut également servir à réinitialiser les listes de contrôle d'accès à leur état par défaut.
DFSCheck
 Utilitaire de ligne de commande qui permet d'administrer tous les aspects des systèmes de fichiers distribués (DFS), de vérifier la cohérence de configuration des serveurs DFS et de visualiser la topologie DFS.

Page de référence des commandes Windows 2000

Vous trouverez une liste complète des commandes Windows 2000, ainsi que des informations sur l'utilisation de chacune d'elles, dans les rubriques d'aide de Windows 2000. Il vous suffit de taper "référence commandes" sous l'onglet Index ou Recherche.

ADSI

Vous pouvez utiliser ADSI (Active Directory Service Interface) pour créer des scripts pour toutes sortes d'usages. Le CD-ROM de Windows 2000 Server contient plusieurs exemples de ADSI . Pour plus d'informations sur ADSI, voir les sections "ADSI" et "Pour plus d'informations".

Les informations contenues dans ce document représentent l'opinion actuelle de Microsoft Corporation sur les points cités à la date de publication. Microsoft s'adapte aux conditions fluctuantes du marché et cette opinion ne doit pas être interprétée comme un engagement de la part de Microsoft ; de plus, Microsoft ne peut pas garantir la véracité de toute information présentée après la date de publication.

Ce livre blanc est fourni à des fins d'informations seulement. MICROSOFT N'OFFRE AUCUNE GARANTIE, EXPRESSE OU IMPLICITE, DANS CE DOCUMENT.

Microsoft, Active Directory, ActiveX, BackOffice, MSN, Windows et Windows NT sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation aux États-Unis d'Amérique et/ou dans d'autres pays.

Les autres noms de produits ou de sociétés mentionnés dans ce document sont des marques de leurs propriétaires respectifs.

Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • États-Unis

0x99

1 Dans un domaine Windows 2000 Server, un contrôleur de domaine est un ordinateur Windows 2000 Server qui gère l'accès utilisateur à un réseau, c'est-à-dire la connexion, l'authentification et l'accès à l'annuaire et aux ressources partagées.

2 Une zone DNS est une partition d'un seul tenant de l'espace de noms DNS qui contient les enregistrements de ressources pour les domaines DNS de cette zone.

3 LDAP est un protocole utilisé pour accéder à un service d'annuaire : voir les sections "Noms LDAP" et "LDAP".

4 Décrit dans le projet de norme Internet de l'IETF (Internet Engineering Task Force) draft-ietf-dnsind-rfc2052bis-02.txt, "A DNS RR for specifying the location of services (DNS SRV)" [Un enregistrement de ressources DNS permettant de spécifier l'emplacement de services (DNS SRV)]. (Les projets de norme sont des documents de travail de l'IETF, de ses domaines et de ses groupes de travail.)

5 Décrit dans la RFC 2136, "Observations on the use of Components of the Class A Address Space within the Internet" [Observations sur l'utilisation des composants de l'espace d'adresses de classe A sur l'Internet].

6 La façon dont les groupes sont définis dans Windows 2000 est légèrement différente de celle dont ils sont définis dans Windows NT. Windows 2000 utilise deux types de groupe : 1. des groupes de sécurité (pour administrer l'accès des utilisateurs et des ordinateurs aux ressources partagées et pour filtrer les paramètres de stratégie de groupe) ; et 2. des groupes de distribution (pour créer des listes de distribution de courrier électronique). Windows 2000 utilise également trois portées de groupe : 1. des groupes avec une portée locale de domaine (pour définir et administrer l'accès aux ressources dans les limites d'un domaine unique), 2. des groupes avec une portée globale (pour administrer des objets d'annuaire qui exigent une maintenance quotidienne, comme les comptes d'utilisateur et les comptes d'ordinateur. La portée globale vous permet de grouper des comptes au sein d'un domaine), et 3. des groupes avec une portée universelle (pour consolider les groupes qui chevauchent plusieurs domaines. Vous pouvez ajouter des comptes d'utilisateur à des groupes à portée globale puis encapsuler ces groupes dans des groupes à portée universelle). (Pour plus d'informations sur les groupes Windows 2000, y compris sur le nouveau type de groupe universel, voir la section "Pour plus d'informations" à la fin de ce document.)

7 Pour pouvoir recevoir le logo Certifié pour Windows, votre application doit être testée par VeriTest, qui vérifie qu'elle est bien conforme aux spécifications arrêtées pour les applications Windows 2000. Vous pouvez choisir n'importe quelle combinaison de plates-formes, tant qu'elle comprenne l'un des systèmes d'exploitation Windows 2000. Les applications pourront recevoir le logo "Certifié pour Microsoft Windows" si les tests de conformité sont réussis et qu'un accord de licence logo est signé avec Microsoft. Le logo que vous recevez indique les versions de Windows pour lesquelles votre produit est certifié.

8 Active Directory prend en charge les versions 2 et 3 de LDAP, qui reconnaissent les conventions d'affectation de noms des RFC 1779 et 2247.

9 Si aucun UPN n'a été ajouté, les utilisateurs peuvent se connecter en indiquant explicitement leur nom d'utilisateur et le nom DNS du domaine racine.

10 Les stratégies de groupe qui contrôlent les paramètres par défaut des imprimantes du point de vue de la publication sont Publier automatiquement les nouvelles imprimantes dans Active Directory et Autoriser la publication des imprimantes (cette dernière stratégie de groupe contrôle si les imprimantes d'une machine donnée peuvent être publiées).

11 À comparer avec les versions précédentes de Windows NT Server, dans lesquelles la base de données SAM était limitée à 40 000 objets par domaine.

12 Pour une description de cette charge supplémentaire, voir le "Guide de planification du déploiement de Windows 2000 Server", qui traite de la planification de la structure et du déploiement des domaines et des sites Windows 2000, dans la section "Pour plus d'informations" à la fin de ce document.

13 Un DACL accorde ou refuse des droits sur un objet à des utilisateurs ou à des groupes spécifiques.

14 Pour plus d'informations sur l'interopérabilité avec les domaines Kerberos, voir la section "Rôle de Kerberos dans l'interopérabilité".

15 Les vecteurs de mise à jour ne sont pas liés à un site donné. Un vecteur de mise à jour comporte une entrée pour chacun des serveurs sur lesquels la partition d'annuaire (contexte d'affectation de nom) peut être écrite.

16 Vous pouvez déléguer de l'autorité à des conteneurs, mais vous aussi accorder des autorisations (comme la lecture/écriture) jusqu'au niveau de l'attribut d'un objet.

17 Dans la DACL d'un objet, les entrées de contrôle d'accès (ACE) qui déterminent qui peut accéder à cet objet et le type d'accès. Lorsque vous créez un objet dans l'annuaire, une DACL par défaut (définie dans le schéma) lui est affectée.

18 Par défaut, le groupe Administrateurs de l'entreprise reçoit le contrôle total sur tous les objets d'une forêt.

19 Vous utilisez l'extension Redirection de dossier pour rediriger n'importe quel dossier spécial suivant appartenant à un profil utilisateur vers un emplacement différent (comme une partition réseau) : Données d'application, Bureau, Mes documents (et/ou Mes images), Menu Démarrer.

20 LDAP version 2 est décrit dans la RFC 1777 ; LDAP version 3 est décrit dans la RFC 2251.

<< 1 2 3 4 >>

Dernière mise à jour le jeudi 2 mars 2000

Pour en savoir plus