Centre de Recherche sur les Matériaux à Haute Température

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Centre de Recherche sur les Matériaux à Haute Température

Descriptif technique de Active Directory (2)

Sommaire

<< 1 3 4 >>
Page 1
Page 2
Page 3 Instructions pas à pas pour la gestion du service Active Directory 
Page 4 Intégration du service Impression de Windows 2000 avec Active Directory

Fonctionnalités de Active Directory

  1. Intégration au DNS
  2. Nommage d'objet
  3. Accès à Active Directory
  4. Conteneurs virtuels
  5. Catalogue global
  6. Sécurité
  7. Duplication
  8. Arbres et forêts
  9. Sites
  10. Schéma
  11. La publication
  12. Groupes

Cette section décrit des fonctionnalités et des éléments essentiels de Active Directory. Intégration au DNS

Active Directory est étroitement intégré au système de nom de domaine (DNS – Domain Name System). Le DNS est l'espace de noms distribué utilisé sur Internet pour résoudre les noms d'ordinateurs et de services en adresses TCP/IP. La plupart des sociétés exploitant des intranets utilisent le DNS comme service de résolution de noms. Active Directory utilise le DNS comme service de localisation. Les noms de domaine Windows 2000 sont des noms de domaine DNS. Par exemple, "Microsoft.com" est un nom de domaine DNS valide et pourrait être également le nom d'un domaine Windows 2000. Son intégration étroite au DNS permet à Active Directory de trouver naturellement sa place dans des environnements Internet et intranet. Les clients trouvent les serveurs d'annuaire rapidement et facilement. Les entreprises peuvent connecter des serveurs Active Directory directement à Internet pour faciliter la mise en œuvre de communications et d'applications de commerce électronique sécurisées avec leurs clients et leurs partenaires.

  • Service de localisation

Les serveurs Active Directory publient leurs adresses de telle sorte que les clients puissent les trouver à partir de leurs seuls noms de domaine. Les serveurs Active Directory sont publiés dans le DNS via des enregistrements de ressources de services (SRV RR – Service Resource Record). L'enregistrement de ressources de service est un enregistrement DNS utilisé pour mapper le nom d'un service sur l'adresse d'un serveur proposant ce service. Son nom est de la forme :

< service >. < protocole > . < domaine >

Les serveurs Active Directory proposent le service LDAP (Lightweight Directory Access Protocol) via le protocole TCP de telle sorte que les noms publiés prennent la forme :

ldap.tcp.

Ainsi, l'enregistrement de ressources de service pour "Microsoft.com" est "ldap.tcp.microsoft.com". D'autres informations de l'enregistrement indiquent la priorité et le poids accordés au serveur, ce qui permet au client de choisir le serveur qui correspond le mieux à ses besoins. Lorsqu'un serveur Active Directory est installé, il se publie lui-même par DNS dynamique (voir définition au paragraphe suivant). Dans la mesure où les adresses TCP/IP sont sujettes à modification au cours du temps, les serveurs vérifient périodiquement leurs données d'inscription pour s'assurer qu'elles sont correctes, et les mettent à jour si nécessaire.

DNS dynamique

Le DNS dynamique est un ajout récent à la norme DNS.. Il définit un protocole de mise à jour dynamique d'un DNS avec de nouvelles valeurs ou des valeurs modifiées. Avant l'apparition du DNS dynamique, les administrateurs devaient configurer manuellement les enregistrements stockés par les serveurs DNS.

Nommage d'objet

Un objet possède un nom et un seul, son nom unique (DN). Le DN identifie l'objet de manière unique et contient assez d'informations pour qu'un client puisse récupérer l'objet dans l'annuaire. Le DN d'un objet peut être très long et difficile à mémoriser. En outre, le DN d'un objet peut changer. Dans la mesure où le DN d'un objet est constitué de son nom relatif distinct et de ses ancêtres, si un objet ou n'importe lequel de ses ancêtres change de nom, son DN changera.
Dans la mesure où les DN sont difficiles à mémoriser et sujets à modification, il est utile de disposer d'autres moyens de récupérer des objets. Active Directory permet les requêtes par attributs, de telle sorte qu'on peut trouver un objet même si on ne connaît pas son DN exact ou s'il a changé. Pour simplifier le processus de recherche d'objets par requête, le schéma Active Directory définit deux propriétés pratiques :

  • Identificateur globalement unique d'objet (GUID – Globally Unique Identifier) — un nombre codé sur 128 bits, garanti unique. Lorsqu'ils sont créés, les objets se voient attribuer un GUID. Le GUID ne change jamais, même si l'objet est déplacé ou renommé. Les applications peuvent stocker le GUID d'un objet et sont ainsi certaines de pouvoir récupérer cet objet quel que soit son DN courant.
  • Nom principal d'utilisateur — Les principes de sécurité (utilisateurs et groupes) ont chacun un nom "convivial", le nom principal d'utilisateur (UPN - User Principal Name), plus court que le DN et plus facile à mémoriser. Le nom principal d'utilisateur est constitué d'un nom "abrégé" pour l'utilisateur et du nom de l'arbre de domaines dans lequel réside l'objet utilisateur. Par exemple, l'utilisateur James Smith de l'arbre microsoft.com pourrait avoir l'UPN "James@Microsoft.com".

Unicité des noms

Les noms uniques sont garantis tels. Active Directory ne permet pas que deux objets de même parent aient le même nom relatif distinct. Les DN sont constitués de noms relatifs distincts et sont donc uniques. Les GUID sont uniques par définition ; ils sont générés par un algorithme qui assure leur unicité. L'unicité n'est obligatoire pour aucun autre attribut.

Accès à Active Directory

L'accès à Active Directory se fait par protocoles câblés (wire protocols). Ces protocoles définissent les formats des messages et des interactions entre client et serveur. Diverses interfaces de programmation d'applications (API) permettent aux développeurs de gérer l'accès à ces protocoles.

Support des protocoles

Les protocoles reconnus sont :

  • LDAP — Le protocole central de Active Directory est LDAP (Lightweight Directory Access Protocol). Les versions 2 et 3 de LDAP sont reconnues.
  • MAPI-RPC — Active Directory reconnaît les interfaces d'appels de procédure distante (RPC) gérant les interfaces MAPI.
  • X.500 — Le modèle d'information Active Directory est dérivé de celui du protocole X.500. La norme X.500 définit plusieurs protocoles câblés que Active Directory n'implémente pas. Il s'agit des protocoles suivants :

DAP – Protocole d'accès aux annuaires ;
DSP – Protocole du système d'annuaire ;
DISP – Protocole de réplication d'annuaire ;
DOP – Protocole de gestion de liaison opérationnelle d'annuaire Active Directory n'implémente pas ces protocoles pour les raisons suivantes :
– Ces protocoles présentent très peu d'intérêt et sont peu implémentés.
– Ces protocoles requièrent l'utilisation du modèle ISO/OSI sur les réseaux. ISO/OSI est une alternative à TCP/IP assez peu implémentée. Transporter des données ISO/OSI via un réseau TCP/IP est moins efficace qu'utiliser directement TCP/IP.
– LDAP offre les fonctionnalités essentielles de DAP et DSP et il est conçu pour fonctionner sous TCP/IP sans avoir à "encapsuler" ISO/OSI dans TCP/IP.
– Les spécifications 1993 et 1997 de DISP et DOP sont assez ambiguës pour qu'il n'y ait aucune garantie que des implémentations conformes interagissent correctement, ce qui réduit à peu de choses la valeur de ces protocoles.

Interfaces de programmation d'applications

Les API reconnues sont :

  • ADSI — L'interface de service de Active Directory (ADSI) offre une interface orientée objet simple et puissante vers Active Directory. Les développeurs peuvent utiliser toutes sortes de langages de programmation, notamment Java, Visual Basic, C et C++. Pour faciliter le travail des administrateurs, ASDI est entièrement pilotable par scripts. En outre, l'ADSI cache aux utilisateurs les détails des communications LDAP.
  • API LDAP— L'API LDAP C, définie dans le RFC 1823, est une interface de couche inférieure destinée aux programmeurs en C.
  • MAPI — Active Directory reconnaît MAPI pour des raisons de compatibilité ascendante. Les nouvelles applications doivent utiliser de préférence ADSI ou l'API LDAP C.

Conteneurs virtuels

Active Directory permet d'afficher d'autres annuaires grâce à des conteneurs virtuels. Un conteneur virtuel permet l'accès transparent via Active Directory à tout annuaire compatible LDAP. Le conteneur virtuel est implémenté grâce aux informations de connaissance stockées dans Active Directory. Les informations de connaissance indiquent à quel emplacement de Active Directory doit apparaître l'annuaire étranger. Elles donnent le nom DNS d'un serveur contenant une copie de l'annuaire étranger et le nom unique (DN) à partir duquel il faut commencer la recherche dans le DS étranger.

Catalogue global

Active Directory peut être constitué de nombreuses partitions ou de nombreux contextes d'appellation. Le nom unique (DN) d'un objet contient assez d'informations pour localiser une réplique de la partition contenant l'objet. Mais bien souvent l'utilisateur ou l'application ne connaissent pas le nom unique de l'objet cible et ne savent pas quelle partition pourrait le contenir. Le Catalogue global (GC – Global Catalog) permet aux utilisateurs et aux applications de trouver des objets dans l'arbre de domaines Active Directory pour peu qu'ils connaissent un ou plusieurs attributs de l'objet cible.
Le catalogue global contient une réplique partielle de chaque contexte d'appellation d'utilisateurs de l'annuaire. Il contient aussi le schéma et les contextes d'appellation de configurations. Cela veut dire que le catalogue général contient une réplique de chaque objet dans Active Directory, mais ne détient qu'un petit nombre de ses attributs. Les attributs trouvés dans le catalogue général sont ceux les plus fréquemment utilisés dans les opérations de recherche (comme le prénom et le nom d'un utilisateur, les noms de connexion, etc.) et ceux nécessaires à la localisation d'un réplique complète de l'objet. Le catalogue général permet aux utilisateurs de trouver rapidement les objets qui les intéressent sans savoir quel domaine les contient et sans exiger l'existence d'un espace de nom étendu contigu dans l'entreprise.
Le système de duplication de Active Directory génère automatiquement le catalogue général et la topologie de duplication. Les propriétés dupliquées dans le catalogue général appartiennent par défaut à un ensemble de base défini par Microsoft. Les administrateurs peuvent spécifier des propriétés supplémentaires pour répondre aux besoins de leurs installations.

Sécurité

Il ne s'agit ici que d'un aperçu de la sécurité au sein de Active Directory. Pour en savoir plus sur le modèle de sécurité de Windows 2000, reportez-vous aux pages Windows 2000 et sécurité de TechNet.

Protection des objets

Tous les objets dans Active Directory sont protégés par des listes de contrôle d'accès (ACL). Les ACL déterminent qui peut voir un objet et quelles actions chaque utilisateur a le droit d'effectuer sur l'objet. L'existence d'un objet n'est jamais révélée à un utilisateur qui n'a pas le droit de le voir.
Une ACL est une liste d'entrées de contrôle d'accès (ACE) stockée avec l'objet qu'elle protège. Sous Windows 2000, les ACL sont stockées sous forme de valeurs binaires appelées descripteurs de sécurité. Chaque ACE contient un identificateur de sécurité (SID), qui identifie le principe (utilisateur ou groupe) auquel l'ACE s'applique et comporte des informations sur quel type d'accès l'ACE autorise ou interdit.
Les ACL des objets d'annuaire contiennent des ACE qui s'appliquent à l'objet dans son ensemble et des ACE qui s'appliquent aux attributs de l'objet pris séparément. Cela permet à un administrateur de décider non seulement quels utilisateurs peuvent voir un objet, mais quelles propriétés ces utilisateurs peuvent voir. Par exemple, on pourrait accorder à tous les utilisateurs l'accès en lecture aux attributs d'adresse de courrier électronique et de numéro de téléphone de tous les autres utilisateurs, mais n'accorder l'accès aux propriétés de sécurité des utilisateurs qu'aux seuls membres d'un groupe spécial d'administrateurs de sécurité. Les utilisateurs pris séparément pourraient se voir en outre accorder l'accès à des attributs personnels comme le numéro de téléphone et l'adresse postale de leurs propres objets utilisateur.

Délégation

La délégation est l'une des fonctionnalités de sécurité les plus importantes de Active Directory. La délégation permet à une autorité administrative supérieure d'accorder des droits de gestion spécifiques sur des conteneurs et des sous-arbres à des individus ou à des groupes. Cela évite le besoin d'avoir des "administrateurs de domaine" disposant d'une autorité totale sur de larges portions de la population d'utilisateurs.
Les ACE peuvent accorder des droits de gestion spécifiques sur les objets d'un conteneur à un utilisateur ou à un groupe. Les droits sont accordés pour des opérations précises sur des classes d'objets déterminées, par l'intermédiaire d'ACE contenus dans l'ACL du conteneur. Par exemple, pour permettre à l'utilisateur "James Smith" d'administrer l'unité "Comptabilité groupe", on ajouterait des ACE à l'ACL de "Comptabilité groupe" comme suit :

"James Smith";Grant ;Create, Modify, Delete;Object-Class User "James Smith";Grant ;Create, Modify, Delete;Object-Class Group "James Smith";Grant ;Write;Object-Class User; Attribute Password

Désormais, James Smith est en mesure de créer de nouveaux utilisateurs et de nouveaux groupes dans Comptabilité groupe et peut établir les mots de passe des utilisateurs existants, mais il n'a pas le droit de créer de nouvelles classes d'objet et ne peut toucher aux utilisateurs d'autres conteneurs (à moins, bien sûr, que des ACE ne lui donnent des droits sur d'autres conteneurs).

Héritage

L'héritage permet à une ACE donnée de se propager du conteneur dans lequel elle a été appliquée à tous les enfants de ce conteneur. On peut combiner héritage et délégation pour accorder des droits de gestion à l'ensemble d'un sous-arbre de l'annuaire en une seule opération.

Duplication

Active Directory permet la duplication multimaître. Avec la duplication multimaître toutes les répliques d'une partition donnée sont modifiables. Cela permet d'appliquer des mises à jour à toute réplique d'une partition donnée. Le système de duplication de Active Directory propage les modifications d'une réplique donnée à toutes les autres répliques. La duplication est automatique et transparente.

Propagation des mises à jour

Certains services d'annuaire utilisent des horodatages pour détecter et propager les modifications. Avec ces systèmes, il est très important de maintenir la synchronisation des horloges de tous les serveurs d'annuaire. La synchronisation temporelle d'un réseau est une tache très ardue. Même quand elle est excellente, il est toujours possible que l'heure d'un serveur d'annuaires donné soit mal réglée, ce qui peut provoquer la perte de mises à jour.
Windows 2000 offre la synchronisation temporelle distribuée, mais le système de duplication de Active Directory ne dépend pas de l'heure et de la date pour la propagation des mises à jour. Il utilise à la place des numéros de séquence de mise à jour (USN). Un USN est un nombre codé sur 64 bits maintenu par chaque serveur Active Directory. Lorsque le serveur écrit une propriété quelconque sur Active Directory, l'USN est incrémenté et stocké avec la propriété écrite. Cette opération a lieu d'un seul tenant, c'est-à-dire que l'incrémentation et le stockage de l'USN ainsi que l'écriture de la propriété réussissent tous les trois ou échouent tous les trois.
Chaque serveur Active Directory maintient également une table des USN reçus de ses partenaires de duplication. L'USN le plus élevé reçu de chacun des partenaires est stocké. Lorsqu'un partenaire donné informe Active Directory d'une duplication imminente, le serveur demande à recevoir tous les changements dont l'USN est supérieur à la dernière valeur reçue. Cette approche très simple permet de s'affranchir de l'exactitude des horodatages.
Dans la mesure où l'USN de la table est mis à jour au cours d'une opération groupée lors de la réception de chaque mise à jour, la récupération après échec est également très simple. Pour relancer la duplication, il suffit à un serveur de demander à ses partenaires toutes les modifications dont les USN sont supérieurs à la dernière entrée valide de la table. La table étant mise à jour par opération groupée avec les changements, un cycle de duplication interrompu reprendra toujours exactement là où il l'a été, sans perte ni répétition des mises à jour.

Détection des collisions — Numéros de version

Dans un système de duplication multimaître comme celui de Active Directory, il est possible que la même propriété soit mise à jour sur plusieurs répliques différentes. Lorsqu'une propriété change sur une deuxième (ou troisième, ou quatrième…) réplique avant qu'une modification de la première réplique ait été complètement propagée, on assiste à une collision de duplications. Les collisions sont détectées grâce à l'utilisation de numéros de version de propriété. Contrairement aux USN, qui sont des valeurs spécifiques aux serveurs, un numéro de version de propriété est spécifique à la propriété attachée à un objet dans Active Directory. Lorsqu'une propriété est écrite pour la première fois sur un objet de Active Directory, le numéro de version est initialisé.
Les écritures d'origine incrémentent le numéro de version. Une écriture d'origine est une écriture sur une propriété sur le système à l'origine de la modification. Les écritures sur propriété provoquées par duplication ne sont pas des écritures d'origine et n'incrémentent pas le numéro de version. Par exemple, lorsqu'un utilisateur met à jour son mot de passe, il y a une écriture d'origine et le numéro de version du mot de passe est incrémenté. Les écritures de duplication du mot de passe modifié sur d'autres serveurs n'incrémentent pas le numéro de version.
Il y a collision lorsque lors d'une modification reçue par duplication le numéro de version de la propriété reçu est égal au numéro de version de la propriété stocké localement et que la valeur reçue et la valeur stockée sont différentes. Lorsque cela se produit, le système récepteur applique la mise à jour dont l'horodatage est le plus récent. C'est la seule situation pour laquelle il est fait appel à l'heure et à la date pour la duplication.
Lorsque le numéro de version reçu est inférieur au numéro de version stocké localement, la mise à jour est considérée comme caduque et rejetée. Lorsque le numéro de version reçu est supérieur au numéro de version stocké localement, la mise à jour est acceptée.

Amortissement de la propagation

Le système de duplication de Active Directory autorise la présence de boucles dans la topologie de duplication. Cela permet à l'administrateur de configurer une topologie de duplication comportant des chemins d'accès multiples entre serveurs pour accroître performances et disponibilité. Le système de duplication de Active Directory pratique l'amortissement de la propagation pour éviter que des modifications se propagent indéfiniment et pour éliminer la transmission redondante de modifications à des répliques déjà à jour.
Pour amortir la propagation, le système de duplication de Active Directory utilise des vecteurs de mise à jour. Le vecteur de mise à jour est une liste de paires serveur–USN maintenue par chaque serveur. Le vecteur de mise à jour de chaque serveur indique l'USN d'écritures d'origine le plus élevé reçu du serveur figurant dans la paire serveur–USN. Le vecteur de mise à jour d'un serveur appartenant à un site donné répertorie tous les autres serveurs de ce site.
Lorsque commence un cycle de duplication, le serveur demandeur envoie son vecteur de mise à jour au serveur émetteur. Le serveur émetteur utilise le vecteur de mise à jour pour filtrer les modifications envoyées au serveur demandeur. Si l'USN le plus élevé pour un serveur d'origine donné est plus élevé ou égal à l'USN d'écriture d'origine d'une mise à jour particulière, le serveur émetteur n'a pas besoin de transmettre la modification : le serveur demandeur est déjà à jour par rapport au serveur d'origine.

Arbres et forêts

Un arbre de domaines Windows 2000 est une hiérarchie de domaines Windows 2000, dont chacun constitue une partition de Active Directory. La forme de l'arbre et les relations mutuelles des membres de l'arbre sont déterminées par les noms DNS des domaines. Les domaines d'un arbre doivent constituer un espace de noms contigu, de telle sorte que a.myco.com soit un enfant de myco.com, et que b.myco.com soit un enfant de a.myco.com et ainsi de suite.

Approbation bidirectionnelle transitive

Lorsqu'un domaine est associé à un arbre de domaines Windows 2000, une relation d'approbation bidirectionnelle transitive est automatiquement établie entre le domaine d'origine et son parent dans l'arbre. L'approbation étant transitive et bidirectionnelle, aucune autre relation d'approbation entre membres de l'arbre n'est nécessaire. La hiérarchie d'approbation est stockée comme élément des métadonnées de l'annuaire dans le conteneur Configuration.
Ces objets nécessaires sont créés dans l'annuaire quand un domaine est associé à l'arbre.

Espace de noms

Les domaines d'un arbre de domaines Windows 2000 doivent constituer un espace de noms contigu. Par défaut, les enfants immédiats de chaque domaine sont contigus et font déjà partie de son espace de noms. Cela veut dire que le nom unique de chaque objet des domaines enfants a le nom du domaine parent comme préfixe. Des arbres disjoints peuvent être réunis pour former une forêt.

Le domaine parent et le domaine enfant constituent un espace de noms contigu car le nom du domaine enfant est un subordonné immédiat du nom du domaine parent

Figure 7. Le domaine parent et le domaine enfant constituent un espace de noms contigu car le nom du domaine enfant est un subordonné immédiat du nom du domaine parent

Par exemple, un domaine parent, O=Internet/DC=COM/DC=Microsoft, et un domaine enfant, O=Internet/DC=COM/DC=Microsoft/DC=PBS, constituent un arbre d'appellation contigu, parce que l'objet racine dans le domaine parent, O=Internet/DC=COM/DC=Microsoft, est le parent immédiat de l'objet racine dans l'enfant, O=Internet/DC=COM/DC=Microsoft/DC=PBS. Le parent et l'enfant formant un arbre d'appellation, une recherche approfondie lancée dans le parent passera également en revue l'enfant. Quand constituer un arbre de domaines ?
L'arbre de domaines Windows 2000 est Active Directory à l'échelle de l'entreprise. Tous les domaines Windows 2000 d'une entreprise donnée doivent appartenir à l'arbre de domaines de l'entreprise. Les entreprises qui ont besoin de gérer des noms DNS disjoints pour leurs domaines devront constituer une forêt.
Comment constituer un arbre de domaines ou une forêt ?
Les domaines Windows 2000 sont réunis en arbre de domaines au cours du processus d'installation. Lors de la première installation de Windows 2000 Server (ou de la mise à niveau à partir d'une version antérieure de Windows NT), l'administrateur dispose des options suivantes :

  • créer le premier arbre d'une nouvelle forêt ;
  • créer un nouvel arbre dans une forêt existante ;
  • créer une nouvelle réplique d'un domaine existant ;
  • installer un domaine enfant.

Pour rejoindre un arbre de domaines, il faut installer un domaine enfant et identifier le domaine parent de ce nouveau domaine enfant. Une mise à jour ultérieure de Windows ajoutera la possibilité de fusionner plusieurs arbres existants en un seul arbre plus grand.
Les domaines d'un arbre existant peuvent être déplacés librement pour modifier l'aspect général de l'arbre. La planification d'un arbre bien fait est très importante, mais la notion de "bien fait" est extrêmement subjective et dépend des besoins spécifiques de votre organisation. Toutefois, la possibilité de redessiner l'arbre en fonction des besoins rend moins importante une connaissance préalable de l'architecture qui conviendra.

Sites

Un site est une zone du réseau au sein de laquelle la connectivité entre machines est considérée comme excellente. Windows 2000 définit un site comme un sous-réseau IP ou comme un ensemble de sous-réseaux IP. Cette définition est basée sur l'idée que des ordinateurs possédant la même adresse de sous-réseau sont connectés au même segment de réseau, typiquement un LAN ou un autre environnement large bande comme Frame Relay, ATM ou autres.
Windows 2000 utilise les informations de site pour localiser un serveur Active Directory proche de l'utilisateur. Lorsque le poste de travail d'un utilisateur se connecte au réseau, il reçoit une adresse TCP/IP de la part d'un serveur DHCP, qui identifie également le sous-réseau auquel appartient le poste de travail. Les postes de travail dont les adresses IP sont statiques disposent également d'informations de sous-réseau statiques. Dans les deux cas, le releveur de coordonnées du contrôleur de domaines (DC) tentera de localiser un serveur Active Directory situé sur le même sous-réseau que l'utilisateur, en fonction des informations de sous-réseau connues du poste de travail.

Sites et duplication

Le système de duplication de Windows 2000 génère automatiquement une topologie en anneau pour la duplication entre serveurs Active Directory d'un site donné. Au sein d'un site, la duplication d'annuaire est effectuée par appel de procédure distante (RPC). Entre sites, la duplication peut être configurée pour se faire par RPC ou par messagerie. Windows 2000 fournit en standard une messagerie SMTP simple. Si Microsoft Exchange est installé, la duplication intersite peut se faire via Exchange, à l'aide de n'importe lequel des nombreux transports de messagerie qu'il gère (dont SMTP, X.400 et autres).

Conception des sites

Le site minimal est constitué d'un unique sous-réseau IP. Windows 2000 présuppose que toutes les machines situées dans un site donné partagent un réseau large bande. C'est pourquoi un bon plan de site sera un plan dans lequel tous les sous-réseaux assignés à un site donné partageront un tel réseau. Les zones d'un réseau séparées du reste par un réseau étendu (WAN), des routeurs multiples ou toute autre liaison plus lente devront faire partie de sites distincts.

Schéma

Le schéma Active Directory définit l'ensemble de toutes les classes d'objet et des attributs qui peuvent être stockés dans l'annuaire. Le schéma définit pour chaque classe d'objet où elle peut être créée dans un arbre d'annuaires en précisant ses parents légaux. Le contenu d'une classe est défini par la liste des attributs qu'elle doit ou peut contenir.
Quand étendre le schéma ?
Les utilisateurs et les applications étendent le schéma quand il n'existe aucune classe d'objet répondant à leur besoin du moment. L'extension du schéma est un processus simple et direct.

Ajout d'attributs

On peut ajouter de nouveaux attributs au schéma à tout moment. La définition d'un attribut est constituée par un nom, un identificateur d'objet (OID) unique, une syntaxe précisant quel type de données l'attribut peut contenir et des limites de valeurs optionnelles. Pour les chaînes, les limites de valeurs donnent la longueur minimale et la longueur maximale de la chaîne. Pour les entiers, les limites de valeur donnent la valeur minimale et la valeur maximale de l'entier.
La performance des requêtes dans Active Directory est directement liée à la disponibilité d'un index pouvant servir à optimiser une requête donnée. Lorsqu'il n'y a pas d'index disponible pour satisfaire à une requête donnée, le serveur LDAP doit lire l'ensemble de la partition pour répondre à la requête. Lorsque vous définissez un attribut, vous avez la possibilité de créer un index pour cet attribut. Il est également possible de créer un index pour un attribut donné en mettant l'attribut searchFlags de l'objet attributeSchema à 1. Il est conseillé de définir un attribut comme indexé quand :

  • l'attribut est prévu pour servir souvent dans les requêtes. L'ajout d'un index prend de la place et affecte les performances lors de l'insertion d'un élément (l'index devant être mis à jour à chaque insertion) ; il ne faut donc ajouter un index que s'il doit être utilisé fréquemment ;
  • les valeurs contenues dans l'attribut sont très rarement identiques. Il ne faudra jamais indexer les attributs booléens, car ils ne peuvent prendre que deux valeurs : Vrai ou Faux. Les matricules des employés sont uniques et leurs noms de famille très rarement identiques. Ils font donc d'excellents index ;
  • l'attribut sera associé à des objets intéressants. L'indexation d'un attribut permet de retrouver rapidement des objets pour lesquels cet attribut sera utilisé. Avant d'ajouter un index, il faudra s'assurer que l'attribut indexé sera obligatoire ou autorisé pour les objets à retrouver.

Ajout de nouveaux objets

On peut ajouter de nouvelles classes d'objet au schéma à tout moment. La définition d'un objet est constitué d'un nom, d'un identificateur d'objet (OID), d'une liste d'attributs obligatoires et d'attributs possibles, de la liste des classes qui peuvent être parentes de l'objet, de la classe dont l'objet est dérivé et d'une liste de toutes les classes auxiliaires qui s'appliquent à l'objet.

  • Comment étendre le schéma ?
Le schéma contrôlant ce qui peut être stocké dans l'annuaire et décrivant ce qui y est déjà stocké, l'accès au schéma en écriture est limité aux administrateurs par défaut. Windows 2000 fournit un composant logiciel enfichable de gestion de schéma pour la console d'administration Microsoft (MMC – Microsoft Management Console). Pour étendre le schéma, un utilisateur disposant des privilèges nécessaires peut créer de nouveaux attributs et de nouvelles classes. Les attributs peuvent alors être ajoutés à des classes nouvelles ou existantes. Tout nouvel attribut et toute nouvelle classe doivent se voir attribuer un OID .

 

Identificateurs d'objet (OID)

Un identificateur d'objet est un nombre identifiant de manière non ambiguë une classe d'objet ou un attribut dans un service d'annuaire. Les OID sont délivrés par des autorités émettrices et constituent une hiérarchie. Un OID est représenté sous forme décimale " pointée " (par exemple, " 1.2.3.4 "). Les entreprises (et les particuliers) peuvent obtenir un OID racine d'une autorité émettrice et l'utiliser pour allouer des OID supplémentaires. Par exemple, Microsoft s'est vu allouer l'OID racine 1.2.840.113556. Microsoft gère en interne d'autres branches issues de cette racine. L'une de ces branches est utilisée pour allouer des OID aux classes de Active Directory, une autre pour en allouer aux attributs de Active Directory, etc.
De nombreux pays du monde ont leur propre autorité nationale d'enregistrement, responsable de l'allocation d'OID aux entreprises. Aux états-Unis, il s'agit de l'American National Standards Institute (ANSI). Cette autorité nationale alloue les OID racines. Une entreprise peut également enregistrer un nom pour l'OID. L'obtention d'un OID racine et l'enregistrement d'un nom sont payants. Pour plus de détails, contactez l'autorité nationale d'enregistrement de votre pays.

La publication

La publication consiste à créer dans l'annuaire des objets qui contiennent soit directement l'information que vous voulez rendre accessible, soit une référence à cette information. Par exemple, un objet utilisateur contiendra des informations utiles sur les utilisateurs, comme leurs numéros de téléphone et leurs adresses électroniques, tandis qu'un objet volume contiendra une référence à un volume d'un système de fichiers partagé.

  • Quand publier ?

On publiera l'information dans Active Directory quand elle pourra être utile ou intéressante pour une partie importante de la communauté des utilisateurs et quand il faudra qu'elle soit facilement accessible.
L'information publiée dans Active Directory présente deux caractéristiques essentielles :

  • Elle ne change pas souvent. Les numéros de téléphones et les adresses électroniques constituent de bons exemples d'informations relativement statiques adaptées à la publication. En revanche, un message électronique est un exemple d'information extrêmement volatile.
  • Elle est structurée et peut être représentée sous la forme d'un ensemble d'attributs discrets.

L'adresse professionnelle d'un utilisateur est un exemple d'information structurée susceptible de publication. Un extrait sonore de la voix de l'utilisateur est un exemple d'information non structurée plus logiquement cantonnée au système de fichiers.
Les informations opérationnelles utilisées par les applications constituent d'excellentes candidates à la publication dans Active Directory. En font partie les informations de configuration globales qui s'appliquent à toutes les instances d'une application donnée. Par exemple, un produit de bases de données relationnelles pourrait stocker comme objet dans Active Directory la configuration par défaut pour les serveurs de bases de données. De nouvelles installations du produit pourraient alors récupérer la configuration par défaut contenue dans l'objet, ce qui simplifierait le processus d'installation et augmenterait la cohérence des installations au sein d'une entreprise.
Les applications peuvent également publier leurs points de connexion dans l'annuaire. Les points de connexion servent aux rendez-vous client/serveur. Active Directory définit une architecture pour l'administration de services intégrée utilisant des objets points d'administration de services et fournit des points de connexion standard pour les applications RPC, Winsock et COM. Les applications qui n'utilisent pas les interfaces RPC ou Winsock pour publier leurs points de connexion peuvent publier explicitement des objets point de connexion de services dans l'annuaire.
Les données des applications peuvent également être publiées dans l'annuaire avec des objets spécifiques aux applications. Les données spécifiques aux applications doivent correspondre aux critères évoqués plus haut, c'est-à-dire être globalement intéressantes, relativement non volatiles, et structurées.

  • Comment publier ?

Les moyens de publication sont fonctions de l'application ou du service concerné :

  • RPC — Les applications RPC utilisent la famille d'API RpcNs* pour publier leurs points de connexion dans l'annuaire et pour rechercher les points de connexion des services qui ont publié les leurs.
  • Windows Sockets — Les applications Windows Sockets utilisent les familles d'API Enregistrement et Résolution de Winsock 2.0 pour publier leurs points de connexion et pour rechercher les points de connexion des services qui ont publié les leurs.
  • DCOM — Les services DCOM publient leurs points de connexion par l'intermédiaire de la banque de classes DCOM, qui réside dans Active Directory.
  • Groupes
  • Windows 2000 introduit de nouvelles fonctionnalités de groupe.
  • Les groupes pourront être traités comme des listes de distribution si la prochaine mise à niveau importante d'Exchange est installée.
  • Les groupes peuvent comporter des membres n'ayant rien à voir avec la sécurité (c'est important quand le groupe est utilisé tant pour des objectifs de sécurité qu'en tant que liste de distribution).
  • L'utilisation des groupes pour la sécurité peut être désactivée (c'est important quand le groupe n'est utilisé qu'en tant que liste de distribution).
  • Les groupes peuvent être imbriqués.
  • Un nouveau type de groupe, le groupe universel, est créé.

Le groupe universel représente la forme de groupe la plus simple. Les groupes universels peuvent se présenter dans des ACL à n'importe quel emplacement de la forêt et peuvent contenir d'autres groupes universels, des groupes globaux et des utilisateurs placés n'importe où dans la forêt. Les petites implémentations peuvent se contenter de n'utiliser que des groupes universels sans se soucier des groupes globaux et locaux.
Un groupe global peut se présenter dans des ACL à n'importe quel emplacement de la forêt. Un groupe global peut comporter des utilisateurs et d'autres groupes globaux de son propre domaine. Un groupe local de domaine ne peut être utilisé dans des ACL qu'à l'intérieur de son propre domaine. Un groupe local de domaine peut comporter des utilisateurs et des groupes globaux de n'importe quel domaine de la forêt, des groupes universels et d'autre groupes locaux de domaine appartenant à son propre domaine.
Les trois types de groupe offrent un environnement de contrôle d'accès riche et flexible, tout en limitant le trafic de duplication vers le catalogue global dû aux modifications apportés aux listes de membres des groupes. Un groupe universel apparaît dans le catalogue général, mais il ne contiendra que les groupes globaux principaux des domaines de la forêt. Une fois les groupes globaux établis, la liste de membres du groupe universel ne changera que rarement. Les groupes globaux apparaissent dans le catalogue général, mais pas leurs membres. Les modifications des listes de membres des groupes globaux ne sont pas dupliquées en dehors du domaine dans lequel ils sont définis. Les groupes locaux de domaine ne sont valides que dans le domaine où ils sont définis et n'apparaissent pas du tout dans le catalogue général.

Migration

  1. Parcours de mise à niveau reconnus
  2. Contrôleurs de domaine
  3. Serveurs membres
  4. Clients
  5. Comptes utilisateur
  6. Comptes machine
  7. Groupes globaux

Cette section donne un aperçu de la migration à partir de versions antérieures de Windows NT. La migration fait l'objet de discussions détaillées dans de nombreux documents distincts disponibles à l'adresse http://www.microsoft.com/ntserver.

Parcours de mise à niveau reconnus

Vous pouvez mettre à niveau les systèmes Windows NT 3.51 et 4.0 directement et installer Windows 2000. En revanche, pour les systèmes Windows NT 3.1 et 3.5, vous devez installer Windows NT 3.51 ou 4.0 avant Windows 2000. On peut effectuer une installation d'origine de Windows 2000 sur tout système répertorié dans la Windows 2000 Hardware Compatibility List.

Contrôleurs de domaine

Les contrôleurs de domaine conservent une copie de l'annuaire. Sous Windows NT 3.51 et 4.0, il existe deux types de contrôleurs de domaine : des contrôleurs de domaine principaux (PDC – Primary Domain Controller) et des contrôleurs de domaine secondaires (BDC – Backup Domain Controller). Les contrôleurs de domaine principaux détiennent une copie autorisée en lecture/écriture, alors que les contrôleurs de domaine secondaires détiennent une copie autorisée uniquement en lecture.
Dans Windows 2000, tous les contrôleurs de domaine d'un domaine donné détiennent une copie autorisée en écriture. Il n'y a pas de distinction entre principal et secondaire ; tous les contrôleurs de domaine sont équivalents.

Pour faire passer un domaine Windows NT 3.51 ou 4.0 sous Windows 2000, il faut d'abord mettre le contrôleur de domaine principal du domaine à niveau (Windows 2000). Cette opération charge automatiquement les utilisateurs et les groupes de l'annuaire du domaine dans Active Directory. Au cours du processus de mise à niveau, vous devrez préciser si ce domaine sera :

  • la racine d'un nouvel arbre dans une nouvelle forêt ;
  • la racine d'un nouvel arbre de domaines dans une forêt existante ;
  • l'enfant d'un arbre de domaines existant.

à ce point, le domaine est un domaine mixte. Vous pouvez utiliser les outils d'administration de Windows 2000 pour gérer le domaine, et vous pouvez créer une structure hiérarchique de dossiers d'unité d'organisation dans l'annuaire pour déléguer l'autorité administrative. Les contrôleurs de domaine secondaires, les serveurs membres et les clients restent inchangés et ne savent pas que le contrôleur de domaine principal est maintenant un serveur Active Directory.
Pour faire migrer les contrôleurs de domaine secondaires, mettez-les individuellement à niveau (Windows 2000). Lorsque tous les contrôleurs de domaine ont été mis à niveau (Windows 2000), le domaine n'est plus un domaine mixte et les groupes imbriqués sont reconnus.

Serveurs membres

Pour faire migrer les serveurs membres, mettez-les à niveau (Windows 2000). La mise à niveau (Windows 2000) d'un serveur membre lui permet de participer à la sécurité Kerberos, de gérer les applications reconnaissant Active Directory et ajoute la console d'administration Microsoft, le shell reconnaissant Active Directory et les dialogues communs.

Clients

Pour faire migrer les poste de travail clients basés sur Windows NT, mettez-les à niveau (Windows 2000 Professionnel). Vous pouvez faire migrer un client basé sur Windows 95 en installant un service pack contenant les composants logiciels supplémentaires nécessaires pour leur permettre de reconnaître Active Directory. La mise à niveau d'un client lui permet de participer à la sécurité Kerberos, de gérer les applications reconnaissant Active Directory et ajoute le shell reconnaissant Active Directory et les dialogues communs.

Comptes utilisateur

Quand un contrôleur de domaine principal de bas niveau (3.51 ou 4.0) est mis à niveau (Windows 2000), les comptes utilisateur sont déplacés vers Active Directory et placés dans un conteneur appelé "Utilisateurs" dans la racine du domaine.

Comptes machine

Quand un contrôleur de domaine principal de bas niveau (3.51 ou 4.0) est mis à niveau (Windows 2000), les comptes machine sont déplacés vers Active Directory et placés dans un conteneur appelé "Ordinateurs" dans la racine du domaine. Groupes globaux

Quand un contrôleur de domaine principal de bas niveau (3.51 ou 4.0) est mis à niveau (Windows 2000), les groupes sont déplacés vers Active Directory et placés dans un conteneur appelé "Utilisateurs" à la racine du domaine. Les groupes prédéfinis sont dans un conteneur spécial appelé " Prédéfinis ".

forum aux Questions

Comment un poste de travail trouve-t-il le site auquel il appartient ? 20 Comment un poste de travail trouve-t-il un serveur d'annuaire ? 20 Comment faire pour ouvrir une session ? 20 Qu'en est-il des listes de contrôle d'accès aux ressources de domaine après la migration ? 20 Qu'arrive-t-il aux ACL quand je supprime un domaine ? 21 Que deviennent les groupes locaux ? 21 à quelle occasion le catalogue général est-il l'objet d'une recherche ? 21 Faut-il obligatoirement utiliser le serveur DNS de Microsoft ? 21 Quels avantages y a-t-il à utiliser le serveur DNS de Microsoft ? 22 Qu'en est-il de DHCP ? 22 Qu'en est-il de WINS ? 22

Comment un poste de travail trouve-t-il le site auquel il appartient ?

Un poste de travail trouve son site en présentant son numéro de sous-réseau au premier serveur Active Directory qu'il contacte. Il détermine son numéro de sous-réseau en appliquant son masque de sous-réseau à son adresse IP. L'adresse IP et le masque de sous-réseau peuvent être alloués par DHCP ou configurés statiquement. Le premier serveur contacté utilise le numéro de sous-réseau soumis pour localiser l'objet site du site auquel appartient le poste de travail. Si le serveur courant n'appartient pas lui-même à ce site il indique au poste de travail un autre serveur à contacter.

Comment un poste de travail trouve-t-il un serveur d'annuaire ?

Un poste de travail trouve un serveur d'annuaire en interrogeant un DNS. Les serveurs d'annuaire d'un domaine donné publient sur les DNS des enregistrements de ressources SRV avec des noms de la forme :
LDAP.TCP.<nom de domaine>
Ainsi, un poste de travail se connectant à Microsoft.com recherchera dans les DNS des enregistrements SRV pour LDAP.TCP.Microsoft.com. Le serveur contacté utilisera l'information de sous-réseau fournie par le poste de travail pour déterminer le meilleur serveur comme expliqué dans la réponse précédente.

Comment faire pour ouvrir une session ?

Un utilisateur peut utiliser différents noms sous différents formats pour ouvrir une session sur Windows 2000 Professionnel. Parmi ces derniers on trouve les formats de noms reconnus par l'interface de programmation d'applications Win32 DsCrackNames, qui sont utilisés pour convertir les formes de noms suivantes si nécessaire :

  • Nom NETBIOS de domaine et nom de compte SAM — C'est le nom d'ouverture de session à la sauce Windows NT 4.0. Le nom NETBIOS de domaine est le nom que portait le domaine avant la migration. Le nom de compte SAM est le nom de compte qu'avait l'utilisateur avant la migration.
  • Nom principal d'utilisateur — Ce nom est au format <nom convivia>@<nom-dns-de domaine-pointé>. Si le nom n'est pas unique, la tentative d'ouverture de session échouera avec un message d'erreur Utilisateur inconnu.

Qu'en est-il des listes de contrôle d'accès aux ressources de domaine après la migration ?

Les listes de contrôle d'accès ne sont pas directement affectées par la migration. Si on a fait migrer les domaines Windows NT 3.51 et Windows NT 4.0 sans déplacement, rien ne change du point de vue des ACL.

Si vous déplacez des serveurs d'un domaine de ressources vers une unité d'organisation dans des domaines de compte ayant subi la migration et que vous supprimez le domaine ressources, il vous faudra modifier toutes les ACL comportant des ACE faisant référence au domaine supprimé. Ce n'est pas propre à la migration vers Windows 2000 ; si vous supprimez un domaine sous n'importe quelle version de Windows NT, les identificateurs de sécurité émis par ce domaine deviennent invalides.

Pour limiter l'effort que représente la réapplication des ACL, si vous avez un domaine de ressources sous Windows NT 3.51 ou 4.0 et que vous envisagez de le remplacer par une unité d'organisation et de le supprimer sous Windows 2000, évitez de mettre des groupes du domaine de ressources dans les ACL. Notez que cela n'affecte pas les groupes locaux des serveurs membres ; cela n'affecte que ceux des contrôleurs de domaine.

Microsoft fournira avec Windows 2000 des outils facilitant la réapplication des ACL aux ressources.

Qu'arrive-t-il aux ACL quand je supprime un domaine ?

Lorsque vous créez un groupe dans un domaine, ce domaine lui alloue un identificateur de sécurité (SID). Lorsque vous mettez ce SID dans un ACL, il donne un droit d'accès aux utilisateurs qui possèdent ce SID dans leur jeton. Les utilisateurs récupèrent le SID dans leur jeton en se connectant au domaine qui l'a émis. Il peut s'agir d'une ouverture de session réseau et cela peut donc se produire de manière transparente.

Lorsque vous éditez un ACL, l'API LookupAccountName est appelée avec le SID. Si vous supprimez le domaine qui a émis le SID, vous verrez apparaître "Utilisateur inconnu" dans la liste des utilisateurs et groupes de l'ACL. Cela se produit sous Windows NT 3.51 et Windows NT 4.0 si vous supprimez un domaine ou un lien d'approbation.

Que deviennent les groupes locaux ?

La réponse à cette question comporte deux parties :

  • Partie 1 : Groupes locaux sur les serveurs membres — Les groupes locaux sur un serveur membres demeurent locaux ; ils n'existent que dans le SAM du serveur membre et ne migrent pas vers Active Directory. L'une des utilisations typiques d'un groupe local sur un serveur membre est de maintenir des groupes globaux de domaines de compte. L'administrateur du serveur met le groupe local dans les ACL des ressources du serveur et ajoute les groupes globaux au groupe local. Cela ne change pas sous Windows 2000. La seule différence est que les groupes globaux deviennent des groupes normaux et sont publiés dans Active Directory.
  • Partie 2 : Groupes locaux sur les contrôleurs de domaine principaux et sur les contrôleurs de domaine secondaires — Les contrôleurs de domaine secondaires ont un SAM en lecture seule. Lorsque vous créez un groupe local sur un contrôleur de domaine secondaire, l'opération de création est répercutée au contrôleur de domaine principal puis dupliquée sur tous les autres contrôleurs secondaires. D'un point de vue sémantique, ces groupes locaux sont identiques aux groupes locaux sur un serveur membre, mais ils existent sur le contrôleur de domaine principal et sur tous les contrôleurs secondaires. Lorsque vous faites une mise à niveau (Windows 2000), le processus de mise à niveau crée dans Active Directory un objet groupe local de domaine pour chacun d'eux.

à quelle occasion le catalogue général est-il l'objet d'une recherche ?

Une recherche sur le catalogue global peut être initiée par :

  • une recherche dans un sous-arbre ou une recherche LDAP sur un niveau démarrant au nom unique nul (la racine de l'espace de noms). Ces recherches génèrent une référence au catalogue global ;
  • par une référence directe au port du catalogue général dans une réplique de ce dernier (quoique les programmes clients soient peu susceptibles de recourir à cet approche) ;
  • par une référence explicite au fournisseur d'ADSI du catalogue général (GC://).

Faut-il obligatoirement utiliser le serveur DNS de Microsoft ?

Non. L'utilisation du serveur DNS de Microsoft présente des avantages significatifs, mais tout serveur DNS conforme au RFC fera l'affaire. L'usage du DNS dynamique est recommandé, car avec un serveur DNS dynamique, les serveurs Active Directory peuvent automatiquement effectuer les enregistrements nécessaires dans le DNS. Les serveurs DNS statiques fonctionnent aussi bien, mais l'enregistrement DNS pour chaque serveur Active Directory devra être fait manuellement.

Quels avantages y a-t-il à utiliser le serveur DNS de Microsoft ?

Le serveur DNS fourni avec Windows 2000 est une implémentation du DNS dynamique conforme RFC et BIND. C'est une implémentation native pour Windows 2000, et pas un portage de l'implémentation BIND du domaine public. Le serveur DNS de Microsoft stocke les zones DNS sur lesquelles il a autorité dans Active Directory. Les données de DNS sont dupliquées d'un serveur DNS Microsoft à l'autre par duplication de Active Directory, et pas par transfert de zone. Le serveur DNS de Microsoft reconnaît le transfert de zone DNS standard afin d'assurer l'interopérabilité avec d'autres serveurs DNS.

Qu'en est-il de DHCP ?

Dans Windows 2000 le serveur DHCP reste pour l'essentiel inchangé. Le client DHCP reconnaît le DNS et utilise les services du DNS dynamique pour enregistrer les adresses allouées par DHCP directement dans le DNS. Le client DHCP continuera à enregistrer avec WINS si DHCP identifie un serveur WINS.

Qu'en est-il de WINS ?

Avec Windows 2000, WINS reste inchangé. Les clients Windows 2000 (et les clients Windows 95 avec la mise à niveau Active Directory installée) n'ont plus besoin d'utiliser l'espace de noms NETBIOS. WINS est toujours nécessaire aux clients de bas niveau pour trouver les serveurs et réciproquement. Quand l'entreprise ne possède plus de clients de bas niveau, les serveurs WINS peuvent être désactivés.

<< 1 2  3   4 >>

 

Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.