Planification, implémentation

et maintenance d'une
infrastructure Active Directory ®

Microsoft Windows ®

Server 2003 ™

Guide pédagogique
Cours n° : 2194A

Réf. n° : X09-84841
Édité en : 05/2003

Les informations contenues dans ce document, notamment les adresses URL et les références à des
sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les
sociétés, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des
sociétés, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
événements existants ou ayant existé serait purement fortuite. L'utilisateur est tenu d'observer la
réglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut être reproduite, stockée ou introduite dans un système
d'extraction, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique,
mécanique, photocopie, enregistrement ou autre), sans la permission expresse et écrite de
Microsoft Corporation.

Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de propriété intellectuelle.

 2003 Microsoft Corporation. Tous droits réservés.

Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques déposées de Microsoft Corporation, aux États-Unis d'Amérique
et/ou dans d'autres pays.

Les autres noms de produit et de société mentionnés dans ce document sont des marques de leurs
propriétaires respectifs.

Cours n° : 2194A
Réf. n° : X09-84841
Édité le : 05/2003

Planification, implémentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003 iii

Table des matières
Introduction
Introduction .............................................................................................................1
Documents de cours ................................................................................................2
Conditions préalables ..............................................................................................4
Plan du cours ...........................................................................................................5
Configuration...........................................................................................................7
Programme MOC ....................................................................................................9
Programme MCP ...................................................................................................11
Logistique ..............................................................................................................14
Module 1 : Introduction à l'infrastructure Active Directory
Vue d'ensemble........................................................................................................1
Leçon : Architecture d'Active Directory..................................................................2
Leçon : Fonctionnement d'Active Directory..........................................................11
Leçon : Analyse d'Active Directory ......................................................................21
Leçon : Processus de conception, de planification et d'implémentation
d'Active Directory .................................................................................................32
Module 2 : Implémentation d'une structure de forêt et de domaine
Active Directory
Vue d'ensemble........................................................................................................1
Leçon : Création d'une structure de forêt et de domaine .........................................2
Leçon : Analyse du système DNS intégré à Active Directory...............................23
Leçon : Augmentation des niveaux fonctionnels de la forêt et du domaine ..........38
Leçon : Création de relations d'approbation ..........................................................44
Atelier A : Implémentation d'Active Directory .....................................................57
Module 3 : Implémentation de la structure d'une unité d'organisation
Vue d'ensemble........................................................................................................1
Leçon : Création et gestion d'unités d'organisation .................................................2
Leçon : Délégation du contrôle administratif des unités d'organisation ................14
Leçon : Planification d'une stratégie d'unité d'organisation...................................25
Atelier A : Implémentation de la structure d'une unité d'organisation...................36
Module 4 : Implémentation de comptes d'utilisateurs, de groupes et
d'ordinateurs
Vue d'ensemble........................................................................................................1
Leçon : Présentation des comptes............................................................................2
Leçon : Création et gestion de plusieurs comptes..................................................11
Leçon : Implémentation des suffixes UPN............................................................24
Leçon : Déplacement d'objets dans Active Directory............................................35
Leçon : Planification d'une stratégie de compte d'utilisateur, de groupe et
d'ordinateur............................................................................................................45
Leçon : Planification d'une stratégie d'audit Active Directory ..............................59
Atelier A : Implémentation d'une stratégie de compte et d'audit...........................65

iv Planification, implémentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

Module 5 : Implémentation d'une stratégie de groupe
Vue d'ensemble........................................................................................................1
Leçon : Création et configuration d'objets Stratégie de groupe ...............................2
Leçon : Configuration des fréquences d'actualisation et des paramètres de
stratégie de groupe.................................................................................................19
Leçon : Gestion des objets Stratégie de groupe .....................................................32
Leçon : Vérification et résolution des problèmes liés à la stratégie de groupe......47
Leçon : Délégation du contrôle administratif de la stratégie de groupe ................56
Leçon : Planification d'une stratégie de groupe pour l'entreprise ..........................66
Atelier A : Implémentation d'une stratégie de groupe ...........................................74
Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie
de groupe
Vue d'ensemble........................................................................................................1
Leçon : Présentation de la gestion du déploiement de logiciels ..............................2
Leçon : Déploiement de logiciels ............................................................................7
Leçon : Configuration du déploiement des logiciels .............................................19
Leçon : Maintenance des logiciels déployés..........................................................28
Leçon : Résolution des problèmes liés au déploiement de logiciels......................37
Leçon : Planification d'une stratégie de déploiement de logiciels .........................45
Atelier A : Déploiement et gestion des logiciels à l'aide d'une stratégie
de groupe ...............................................................................................................53
Module 7 : Implémentation de sites pour gérer la réplication
Active Directory
Vue d'ensemble........................................................................................................1
Leçon : Présentation de la réplication Active Directory ..........................................2
Leçon : Création et configuration de sites .............................................................15
Leçon : Gestion de la topologie de site..................................................................30
Leçon : Résolution des échecs de réplication ........................................................38
Leçon : Planification d'un site................................................................................51
Atelier A : Implémentation de sites pour gérer la réplication Active Directory ....63
Module 8 : Implémentation du placement des contrôleurs de domaine
Vue d'ensemble........................................................................................................1
Leçon : Implémentation du catalogue global dans Active Directory.......................2
Leçon : Détermination du placement de contrôleurs de domaine dans Active
Directory................................................................................................................14
Leçon : Planification du placement des contrôleurs de domaine...........................24
Atelier A : Implémentation du placement des contrôleurs de domaine .................34
Module 9 : Gestion des maîtres d'opérations
Vue d'ensemble........................................................................................................1
Leçon : Présentation des rôles de maître d'opérations .............................................2
Leçon : Transfert et prise de rôles de maîtres d'opérations....................................11
Leçon : Planification du placement des maîtres d'opération..................................24
Atelier A : Gestion des maîtres d'opérations .........................................................36

Planification, implémentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003 v

Module 10 : Maintenance d'Active Directory
Vue d'ensemble........................................................................................................1
Leçon : Présentation de la maintenance d'Active Directory ....................................2
Leçon : Déplacement et défragmentation de la base de données
Active Directory ......................................................................................................6
Leçon : Sauvegarde d'Active Directory.................................................................13
Leçon : Restauration d'Active Directory ...............................................................19
Leçon : Planification du contrôle d'Active Directory ............................................30
Atelier A : Maintenance d'Active Directory..........................................................38
Module 11 : Planification et implémentation d'une infrastructure
Active Directory
Vue d'ensemble........................................................................................................1
Leçon : Création d'un plan d'implémentation d'Active Directory pour
Tailspin Toys ...........................................................................................................2
Atelier A : Création d'un plan d'implémentation d'Active Directory pour
Tailspin Toys ...........................................................................................................7
Leçon : Implémentation de l'infrastructure Active Directory pour
Tailspin Toys .........................................................................................................23
Atelier B : Implémentation de l'infrastructure Active Directory pour
Tailspin Toys .........................................................................................................24

Planification, implémentation et maintenance d'une infrastructure Active Directory® Microsoft® Windows Server™ 2003 vii

À propos de ce cours
Cette section décrit brièvement le cours et ses objectifs, le profil des stagiaires
ainsi que les connaissances préalables requises.
Description Ce cours animé par un instructeur et réparti sur cinq journées comporte des
éléments individualisés et des composants facilités par la présence de
l'instructeur. Il fournit aux stagiaires les compétences et les connaissances
requises pour planifier, implémenter et dépanner une infrastructure de service
d'annuaire Active Directory® dans Microsoft® Windows Server™ 2003. Le
cours se concentre sur un environnement de service d'annuaire Windows Server
2003, notamment sur une structure de domaine et de forêt, le système DNS
(Domain Name System), la topologie de site et la réplication, la structure
d'unité d'organisation et la délégation de l'administration, la stratégie de groupe
ainsi que les stratégies de comptes d'utilisateurs, de groupes et d'ordinateurs.
Profil des stagiaires Ce cours s'adresse aux personnes employées ou recherchant un emploi comme
ingénieur système dans une organisation d'entreprise, de moyenne ou de grande
envergure.
Les stagiaires doivent répondre à l'un des critères suivants :
! Nouveaux venus : Personnes non au fait de la technologie. Ce groupe de
stagiaires englobe les personnes sans connaissances techniques, exerçant
actuellement une fonction sans rapport avec l'informatique et qui souhaitent
obtenir et valider des connaissances techniques au niveau ingénierie dans
l'optique d'un changement de carrière.
! Avancés : Personnes expérimentées occupant actuellement un poste
d'informaticien de base et pour qui les fonctions d'ingénierie serveur
Windows sont tout à fait nouvelles. Ce groupe comprend les administrateurs
système de niveau 2 ou les personnes chargées du support technique sous
Windows, UNIX ou Novell NetWare et qui ne disposent pas des
connaissances et des compétences requises pour implémenter et dépanner
un réseau s'appuyant sur Windows Server 2003 Server Active Directory.
! Les professionnels préparant l'examen 70-294 du programme MCP
(Microsoft Certified Professional), Planification, implémentation et
maintenance d'une infrastructure Active Directory sous Microsoft Windows
Server 2003, qui constitue l'examen principal pour obtenir la certification
MCSE (Microsoft Certified Systems Engineer).

Au terme de ce cours, les stagiaires disposeront des connaissances techniques
nécessaires pour effectuer les tâches liées à Active Directory décrites dans ce
cours.

Remarque Le cours 2194A ne s'adresse pas aux personnes suivantes :
ingénieurs système, développeurs et programmeurs Windows NT®,
Windows 2000, UNIX/Linux ou Novell NetWare expérimentés, utilisateurs
finaux professionnels et particuliers.

viii Planification, implémentation et maintenance d'une infrastructure Active Directory® Microsoft® Windows Server™ 2003

Connaissances Pour tirer pleinement parti de ce cours, les stagiaires doivent avoir suivi le cours
préalables 2189A, Planification et maintenance d'une infrastructure réseau Microsoft
Windows Server 2003, ou disposer de connaissances et compétences équivalentes.

Remarque Vous devez avoir suivi la formation CompTIA A+ et CompTIA
Network+ ou posséder des connaissances équivalentes pour participer au
programme MOC (Microsoft Official Curriculum). Les certifications A+ et
Network+ sont recommandées mais ne sont pas obligatoires. Pour connaître les
conditions préalables aux examens de certification A+ et Network+, consultez
le site http://www.comptia.org (en anglais).

Objectifs À la fin de ce cours, les stagiaires seront à même d'effectuer les tâches
suivantes :
! décrire les composants logiques et physiques d'Active Directory ;
! créer et configurer une structure forêt et domaine à l'aide de la conception
d'infrastructure d'Active Directory ;
! planifier et implémenter une structure d'unité d'organisation ;
! planifier et implémenter des comptes d'utilisateurs, de groupes et
d'ordinateurs dans Active Directory ;
! planifier et implémenter une stratégie de groupe pour gérer de façon
centralisée des utilisateurs et les ordinateurs dans une entreprise ;
! déployer, gérer et dépanner les logiciels mis en œuvre à l'aide d'une stratégie
de groupe ;
! implémenter des sites pour gérer et contrôler la réplication Active
Directory ;
! planifier et implémenter le placement des contrôleurs de domaine, des
serveurs de catalogue global et des serveurs DNS intégrés à Active
Directory ;
! planifier et gérer les maîtres d'opérations ;
! sauvegarder, restaurer et assurer la maintenance d'Active Directory ;
! planifier et implémenter une infrastructure Active Directory basée sur une
conception de service d'annuaire fournie par un architecte d'entreprise.

Planification, implémentation et maintenance d'une infrastructure Active Directory® Microsoft® Windows Server™ 2003 ix

Calendrier du cours
Voici une estimation horaire du déroulement du cours. Il est possible que vos
horaires soient différents de ceux indiqués dans le tableau suivant :

Premier jour
Début Fin Module
9:00 9:30 Introduction
9:30 10:30 Module 1 : Introduction à l'infrastructure Active Directory
10:30 10:45 Pause
10:45 11:15 Module 1 : Introduction à l'infrastructure Active Directory (suite)
11:15 12:00 Module 2 : Implémentation d'une structure de forêt et de domaine
Active Directory
12:00 1:00 Déjeuner
1:00 2:15 Module 2 : Implémentation d'une structure de forêt et de domaine
Active Directory (suite)
2:15 2:30 Pause
2:30 3:30 Atelier 2 : Implémentation d'Active Directory
3:30 5:00 Module 3 : Implémentation de la structure d'une unité
d'organisation

Deuxième jour
Début Fin Module
9:00 9:30 Contrôle des acquis du premier jour
9:30 10:15 Atelier 3 : Implémentation de la structure d'une unité
d'organisation
10:15 10:30 Pause
10:30 12:00 Module 4 : Implémentation de comptes d'utilisateurs, de groupes
et d'ordinateurs
12:00 1:00 Déjeuner
1:00 1:30 Module 4 : Implémentation de comptes d'utilisateurs, de groupes
et d'ordinateurs (suite)
1:30 2:30 Atelier 4 : Implémentation d'une stratégie de compte et d'audit
2:30 2:45 Pause
2:45 4:45 Module 5 : Implémentation d'une stratégie de groupe

x Planification, implémentation et maintenance d'une infrastructure Active Directory® Microsoft® Windows Server™ 2003

Troisième jour
Début Fin Module
9:00 9:30 Contrôle des acquis du deuxième jour
9:30 10:30 Module 5 : Implémentation d'une stratégie de groupe (suite)
10:30 10:45 Pause
10:45 12:00 Atelier : 5 : Implémentation d'une stratégie de groupe
12:00 1:00 Déjeuner
1:00 3:00 Module 6 : Déploiement et gestion des logiciels à l'aide d'une
stratégie de groupe
3:00 3:15 Pause
3:15 4:15 Atelier 6 : Déploiement et gestion des logiciels à l'aide d'une
stratégie de groupe

Quatrième jour
Début Fin Module
9:00 9:30 Contrôle des acquis du troisième jour
9:30 10:45 Module 7 : Implémentation de sites pour gérer la réplication
Active Directory
10:45 11:00 Pause
11:00 12:00 Module 7 : Implémentation de sites pour gérer la réplication
Active Directory (suite)
12:00 1:00 Déjeuner
1:00 1:30 Module 7 : Implémentation de sites pour gérer la réplication
Active Directory (suite)
1:30 2:00 Atelier 7 : Implémentation de sites pour gérer la réplication
Active Directory
2:00 2:15 Pause
2:15 3:30 Module 8 : Implémentation du placement des contrôleurs de
domaine
3:30 4:00 Atelier 8 : Implémentation du placement des contrôleurs de
domaine
4:00 5:00 Module 9 : Gestion des maîtres d'opérations

Planification, implémentation et maintenance d'une infrastructure Active Directory® Microsoft® Windows Server™ 2003 xi

Cinquième jour
Début Fin Module
9:00 9:30 Contrôle des acquis du quatrième jour
9:30 10:00 Atelier 9 : Gestion des maîtres d'opérations
10:00 11:00 Module 10 : Maintenance d'Active Directory
11:00 11:15 Pause
11:15 11:45 Module 10 : Maintenance d'ActiveDirectory (suite)
11:45 12:00 Atelier 10 : Maintenance d'Active Directory
12:00 1:00 Déjeuner
1:00 1:30 Atelier 10 : Maintenance d'ActiveDirectory (suite)
1:30 1:45 Module 11 : Planification et implémentation d'une infrastructure
Active Directory
1:45 2:30 Atelier 11A : Création d'un plan d'implémentation d'Active
Directory pour Tailspin Toys
2:30 2:45 Pause
2:45 3:00 Module 11 : Planification et implémentation d'une infrastructure
Active Directory (suite)
3:00 5:00 Atelier 11B : Implémentation de l'infrastructure Active Directory
pour Tailspin Toys

xii Planification, implémentation et maintenance d'une infrastructure Active Directory® Microsoft® Windows Server™ 2003

Contenu du CD-ROM de l'instructeur
Le CD-ROM de l'instructeur contient les fichiers et dossiers décrits ci-dessous :
! Autorun.exe. Lorsque le CD-ROM est inséré dans le lecteur, ou lorsque vous
double-cliquez sur Autorun.exe, ce fichier lance le CD-ROM et vous
permet de parcourir le CD-ROM du stagiaire ou de l'instructeur.
! Autorun.inf. Lorsque le CD-ROM est inséré dans le lecteur, ce fichier lance
Autorun.exe.
! Default.htm. Ce fichier ouvre les pages Web destinées à l'instructeur.
! Readme.txt. Ce fichier décrit l'installation des logiciels permettant d'afficher
le CD-ROM de l'instructeur et son contenu. Il explique également comment
ouvrir les pages Web destinées à l'instructeur.
! 2194A_ms.doc. Ce fichier contient le Guide de configuration manuelle de la
classe. Il contient les étapes à exécuter pour configurer manuellement les
ordinateurs de la classe.
! 2194A_sg.doc. Ce fichier contient le Guide de configuration automatisée de
la classe. Il fournit une description de la configuration de la classe et des
conditions requises, des instructions relatives à l'utilisation des scripts de
configuration automatisée de la classe et la liste de vérification de la
configuration de la classe.
! Errorlog. Ce dossier peut contenir un journal des erreurs.
! Powerpnt. Ce dossier contient les diapositives Microsoft PowerPoint®
utilisées dans ce cours.
! Pptview. Ce dossier contient la visionneuse Microsoft PowerPoint 97 que
vous pouvez utiliser pour afficher les diapositives PowerPoint si vous ne
disposez pas de PowerPoint 2002. N'utilisez pas cette version en classe.
! Setup. Ce dossier contient les fichiers nécessaires pour installer le cours et
les logiciels associés sur les ordinateurs de la classe.
! Student. Ce dossier contient les pages Web destinées aux stagiaires.
Ces pages comportent des liens renvoyant à des ressources ayant un rapport
avec ce cours, notamment des lectures complémentaires, les réponses aux
questions du contrôle des acquis et des ateliers, les fichiers des ateliers, les
présentations multimédias et les sites Web se rapportant au cours.
! Tools. Ce dossier contient les fichiers et les utilitaires employés pour
achever la configuration de l'ordinateur de l'instructeur.
! Webfiles. Ce dossier contient les fichiers requis pour afficher la page Web
du cours. Pour accéder aux pages Web, ouvrez l'Explorateur Windows, puis
double-cliquez sur Default.htm ou Autorun.exe dans le répertoire racine
du CD-ROM.

Planification, implémentation et maintenance d'une infrastructure Active Directory® Microsoft® Windows Server™ 2003 xiii

Contenu du CD-ROM du stagiaire
Le CD-ROM du stagiaire contient les fichiers et dossiers décrits ci-dessous :
! Autorun.exe. Lorsque le CD-ROM est inséré dans le lecteur, ou lorsque vous
double-cliquez sur Autorun.exe, ce fichier lance le CD-ROM du stagiaire et
vous permet de le parcourir.
! Autorun.inf. Lorsque le CD-ROM est inséré dans le lecteur, ce fichier lance
Autorun.exe.
! Default.htm. Ce fichier ouvre la page Web destinée aux stagiaires.
Ces pages comportent des liens renvoyant à des ressources ayant un rapport
avec ce cours, notamment des lectures complémentaires, les réponses aux
questions de contrôle des acquis et des ateliers, les fichiers des ateliers, des
présentations multimédias et des sites Web se rapportant au cours.
! Readme.txt. Ce fichier explique comment installer le logiciel permettant
d'afficher le CD-ROM du stagiaire et son contenu, et comment ouvrir la
page Web destinée au stagiaire.
! Addread. Ce dossier contient des lectures complémentaires ayant un rapport
avec ce cours.
! Appendix. Ce dossier contient les annexes de ce cours.
! Flash. Ce dossier contient le programme d'installation du plug-in
Macromedia Flash 6.0.
! Fonts. Ce dossier contient les polices éventuellement requises pour afficher
les documents Microsoft Word inclus dans ce cours.
! Labfiles. Ce dossier contient les fichiers utilisés dans les ateliers. Certains de
ces fichiers peuvent aussi être employés pour préparer les ordinateurs des
stagiaires en vue des ateliers.
! Media. Ce dossier contient les fichiers utilisés dans les présentations
multimédias de ce cours.
! Mplayer. Ce dossier contient le fichier d'installation du lecteur multimédia
Microsoft Windows Media®.
! Webfiles. Ce dossier contient les fichiers requis pour afficher la page Web
du cours. Pour accéder aux pages Web, ouvrez l'Explorateur Windows, puis
double-cliquez sur Default.htm ou Autorun.exe dans le répertoire racine
du CD-ROM.
! Wordview. Ce dossier contient la visionneuse Word, utilisée pour afficher
tous les fichiers Word (.doc) situés sur le CD-ROM.

vous pouvez taper les noms de répertoire ou de fichier en minuscules dans les boîtes de dialogue ou à l'invite. Représente une partie omise dans un exemple de code. . Cette mise en forme de caractères est également utilisée pour introduire des termes nouveaux. délimitent les éléments obligatoires. espacement Représente les exemples de code ou les exemples de texte fixe affichés à l'écran. [] Dans les syntaxes. Tapez uniquement les informations indiquées entre accolades. citer des titres d'ouvrage et mettre en valeur des éléments du texte. . et non les accolades proprement dites. et non les crochets proprement dits.. options de commande et éléments de syntaxe qui doivent être tapés tels qu'ils sont présentés.xiv Planification. délimitent les éléments facultatifs. Par exemple. Italique Dans les syntaxes ou le texte descriptif. Sauf indication contraire. . Tapez uniquement les informations indiquées entre crochets. Majuscules initiales Représentent les noms de domaine. sépare les éléments mutuellement exclusifs d'un choix. | Dans les syntaxes. de dossier et de fichier (sauf lorsqu'il s'agit de noms avec respect de la casse). ALT+ESPACE. d'ordinateur. [fichier] dans la syntaxe d'une commande indique que vous pouvez taper un nom de fichier dans la commande. ! Représente une procédure composée d'étapes séquentielles. .. indiquent que l'élément précédent peut être répété. de répertoire. d'utilisateur. par exemple. implémentation et maintenance d'une infrastructure Active Directory® Microsoft® Windows Server™ 2003 Conventions typographiques Les conventions suivantes sont utilisées dans les documents du cours afin de distinguer les différents éléments de texte : Convention Utilisation Gras Représente des commandes. . MAJUSCULES Représentent les noms de touche ainsi que les séquences et les combinaisons de touches. les titres et options de boîte de dialogue ainsi que les noms de menu. {} Dans les syntaxes. Dans les syntaxes. Cette mise en forme de caractères désigne également les commandes de menu et les boutons. représente les noms d'argument ou les espaces réservés aux variables.

Introduction Table des matières Introduction 1 Documents de cours 2 Conditions préalables 4 Plan du cours 5 Configuration 7 Programme MOC 9 Programme MCP 11 Logistique 14 .

Active X. Tous droits réservés. Visio. Visual Basic. Sauf mention contraire. marques. de marques. Sans limitation des droits d'auteur. PowerPoint. pourront faire l'objet de modifications sans préavis. produits. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son pays. les sociétés. sans la permission expresse et écrite de Microsoft Corporation. photocopie. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft. personnes. les produits. noms de domaines. Microsoft. enregistrement ou autre). adresses de messagerie. stockée ou introduite dans un système d'extraction. de dépôts de brevets en cours. Windows. les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés.  2003 Microsoft Corporation. la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets. de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. aux États-Unis d'Amérique et/ou dans d'autres pays. les noms de domaines. Visual C++ et Windows Media sont soit des marques de Microsoft Corporation. Les autres noms de produit et de société mentionnés dans ce document sont des marques de leurs propriétaires respectifs.Les informations contenues dans ce document. soit des marques déposées de Microsoft Corporation. droits d'auteur ou autres droits de propriété intellectuelle. Les produits mentionnés dans ce document peuvent faire l'objet de brevets. notamment les adresses URL et les références à des sites Web Internet. les logos. . Windows NT. logos. les adresses de messagerie. lieux et événements existants ou ayant existé serait purement fortuite. les personnes. mécanique. MSDN. ou transmise à quelque fin ou par quelque moyen que ce soit (électronique. aucune partie de ce manuel ne peut être reproduite. MS-DOS. Active Directory.

vous devez réaliser les différentes étapes décrites dans la Liste de préparation au cours fournie avec les documents de cours de l'instructeur. . implémentation et maintenance d'une infrastructure Active Directory® Microsoft® Windows Server™ 2003. des 30 minutes documents et de l'organisation du cours 2194A : Planification. Documents de cours Pour animer ce cours. vous devez disposer des éléments suivants : ! Guide pédagogique ! CD-ROM de l'instructeur Préparation Pour préparer ce cours. Introduction iii Notes de l'instructeur Présentation : Ce module donne aux stagiaires une vue d'ensemble du contenu du cours.

Indiquez aux stagiaires où ils peuvent envoyer leurs commentaires et impressions sur le cours. Conditions préalables Décrivez les connaissances préalables requises pour suivre ce cours. car le cours est présenté en détail dans le module 1. Documents de cours Signalez aux stagiaires que tout ce dont ils ont besoin pour ce cours leur est fourni à leur arrivée. Configuration Présentez toutes les informations de configuration requises pour ce cours. Pour visualiser les simulations de ce cours. Montrez comment ouvrir la page Web fournie sur le CD-ROM des stagiaires en double-cliquant sur Autorun. En haut de la fenêtre de simulation. cliquez sur l'icône Lancement multimédia. vous pourrez identifier les stagiaires qui n'ont pas l'expérience ou les acquis suffisants pour assister à ce cours. cliquez sur l'icône Lancement multimédia. y compris les fichiers de cours et la configuration de la classe. . ouvrez la page Web sur le CD-ROM des stagiaires. Plan du cours Décrivez brièvement chacun des modules en soulignant ce que les stagiaires apprendront. Décrivez le contenu du manuel de travail et du CD-ROM des stagiaires. Ne soyez pas trop précis. appuyez sur F11 pour la visualiser en mode plein écran. Demandez aux stagiaires d'inscrire leur nom de chaque côté de la fiche. Vérifiez que la fonction Masquer automatiquement est activée. puis appuyez deux fois sur F11.exe ou Default. Introduction Accueillez les stagiaires et présentez-vous. De cette façon. Après avoir ouvert l'animation. Orientez les stagiaires vers la présentation multimédia Rôles dans les systèmes d'information. cliquez avec le bouton droit sur la barre d'outils. Pour visualiser les animations de ce cours. leur connaissance du produit et leurs attentes concernant ce cours. en faisant le lien avec le contenu des différents modules. puis sur le titre de la présentation.htm dans le dossier Student du CD-ROM de l'instructeur.iv Introduction Comment animer ce module Cette section contient des informations qui ont pour but de vous aider à animer ce module. cliquez sur Multimédia. Invitez les stagiaires à se présenter en indiquant leur expérience. Montrez de quelle manière ce cours répondra aux attentes des stagiaires. Pour commencer la présentation. Notez sur un tableau blanc ou à feuilles mobiles les attentes des stagiaires afin de pouvoir vous y référer pendant le cours. Donnez un bref aperçu de vos acquis afin d'établir votre crédibilité en tant qu'instructeur.

boîte aux lettres ou messagerie et zones fumeurs. Renvoyez les stagiaires à la page Web Microsoft Official Curriculum à l'adresse http://www. les examens de certification relatifs à ce cours et les différentes certifications possibles. Logistique Décrivez l'organisation du cours : heures de cours. Assurez-vous également que les stagiaires sont informés des éventuelles dispositions concernant le recyclage papier. stationnement.com/france/formation/ pour plus d'informations sur les cours. repas. Indiquez aux stagiaires si vos locaux disposent d'un accès Internet qu'ils pourront utiliser aux heures de pause. toilettes. Introduction v Programme MOC Expliquez ce qu'est le programme MOC (Microsoft® Official Curriculum) et présentez la liste des cours supplémentaires recommandés. téléphone.microsoft. . prolongation des horaires d'ouverture du bâtiment pour les ateliers. Programme MCP Donnez aux stagiaires des informations sur le programme MCP (Microsoft Certified Professional).eu.

.

Introduction 1 Introduction ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** .

Remarque Pour ouvrir la page Web du stagiaire. envoyez un message électronique à l'adresse mcphelp@microsoft. insérez le CD-ROM du stagiaire dans le lecteur.htm. ! Logiciel d'évaluation. le centre de formation ou l'instructeur. vous aurez la possibilité de remplir un formulaire d'évaluation en ligne à la fin du cours. . les réponses aux questions de contrôle des acquis et des ateliers. ainsi que les exercices réalisés pendant les ateliers pratiques. ! Objectifs.exe ou Default. Ce manuel contient les sujets traités dans le cours. ! Évaluation du cours. Pour envoyer des commentaires supplémentaires ou obtenir des informations sur le programme MCP (Microsoft Certified Professional). Ce cours inclut des éléments requis pour chaque leçon. Vous pouvez les présenter en introduction pour aider les stagiaires à identifier les difficultés ou en conclusion pour valider leurs connaissances. puis double-cliquez à la racine sur Autorun. Ce CD-ROM contient la page Web destinée aux stagiaires. notamment des lectures complémentaires. Une copie d'évaluation du logiciel Microsoft® Windows Server™ 2003 est fournie pour votre usage personnel uniquement.com. ! Fiche. Cette page comporte des liens renvoyant à des ressources ayant un rapport avec ce cours. Inscrivez votre nom des deux côtés de la fiche. les présentations multimédias et les sites Web se rapportant au cours. Pour nous donner vos impressions sur le cours.2 Introduction Documents de cours ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Votre kit de cours contient les documents détaillés ci–dessous. ! Manuel de travail du stagiaire. ! CD-ROM du stagiaire. les fichiers des ateliers. situés sur le CD-ROM du stagiaire.

de la planification et de l'évaluation au déploiement et à la prise en charge existante. Titre ISBN Microsoft Windows Server 2003 0-7356-1354-0 Administrator's Pocket Consultant (en anglais) Active Directory® Services for Microsoft 0-7356-1577-2 Windows Server 2003 Technical Reference (en anglais) Microsoft Windows Server 2003 0-7356-1367-2 Administrator's Companion (en anglais) Microsoft Windows Server 2003 0-7356-1486-5 Deployment Kit (en anglais) Migrating from Microsoft 0-7356-1940-9 Windows NT® Server 4. Introduction 3 Documentation supplémentaire dans Microsoft Press ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Les ouvrages de Microsoft Press sur Microsoft Windows Server 2003 peuvent vous aider dans votre travail.0 to Microsoft Windows Server 2003 (en anglais) Microsoft Windows Server 2003 Security 0-7356-1574-8 Administrator's Companion (en anglais) . Ils vous fournissent des informations techniques précises qui vous permettront de tirer parti des fonctionnalités et améliorations clés de Windows Server 2003. Les ouvrages suivants représentent un complément aux connaissances fournies dans ce cours.

comptia.org (en anglais). Les certifications A+ et Network+ sont recommandées mais ne sont pas obligatoires. Pour connaître les conditions préalables aux examens de certification A+ et Network+. . Remarque Vous devez avoir suivi la formation CompTIA A+ et CompTIA Network+ ou posséder des connaissances équivalentes pour participer au programme MOC (Microsoft Official Curriculum). Planification et maintenance d'une infrastructure réseau Microsoft Windows Server 2003.4 Introduction Conditions préalables ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Pour tirer pleinement parti de ce cours. vous devez avoir suivi le cours 2189A. ou posséder des connaissances équivalentes. consultez le site http://www.

fournit aux stagiaires les connaissances et les compétences nécessaires pour planifier et implémenter des comptes d'utilisateurs. fournit aux stagiaires les connaissances et les compétences nécessaires pour créer des unités d'organisation. Introduction 5 Plan du cours ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Le module 1. et créer des relations d'approbation. « Implémentation des comptes d'utilisateur. « Implémentation d'une structure de forêt et de domaine Active Directory ». . augmenter les niveaux fonctionnels de la forêt et du domaine. Le module présente également les composants logiciels enfichables MMC (Microsoft Management Console) et les outils de ligne de commande vous permettant d'analyser les composants Active Directory. Il fournit également la procédure d'implémentation des suffixes de nom principal d'utilisateur (UPN. Ce module explique comment créer et gérer plusieurs comptes d'utilisateurs et d'ordinateurs. Il explique également comment configurer le système DNS (Domain Name System) dans un environnement Active Directory. ainsi que sa fonction de service d'annuaire. déléguer les tâches d'administration courantes. Le module 4. de planification et d'implémentation. Le module 3. de groupes et d'ordinateurs Active Directory. ainsi que ses processus de conception. Le module 2. « Introduction à l'infrastructure Active Directory ». personnaliser la délégation des tâches d'administration d'une unité d'organisation et planifier l'implémentation de la structure d'une unité d'organisation. le processus de création d'une forêt et d'une structure de domaine à l'aide de l'Assistant Installation de Active Directory. présente les conditions requises pour installer Active Directory. ainsi que les tâches à effectuer après l'installation. de groupe et d'ordinateur ». User Principal Name). « Implémentation d'une structure d'unité d'organisation ». présente aux stagiaires l'infrastructure du service d'annuaire Active Directory. sa structure physique et logique.

Il présente également les instructions de mise en cache. des informations relatives à l'appartenance au groupe universel. Le module 9. à la résolution des problèmes liés au logiciel déployé. pour un site. déplacer. « Maintenance d'Active Directory ». notamment comment défragmenter. fournit aux stagiaires les connaissances et les compétences nécessaires pour planifier et implémenter une stratégie de groupe afin de gérer de façon centralisée les utilisateurs et les ordinateurs d'une entreprise. « Implémentation du placement des contrôleurs de domaine ». « Implémentation de sites pour gérer la réplication Active Directory ». Ce module met l'accent sur les concepts de base relatifs au déploiement.6 Introduction Le module 5. « Planification et implémentation d'une infrastructure Active Directory ». sauvegarder. explique les concepts de bases relatifs à la gestion de la disponibilité d'Active Directory. Le module 6. . fournit aux stagiaires les connaissances et les compétences nécessaires pour implémenter des sites qui vous permettront de gérer et d'analyser la réplication dans Active Directory. fournit aux stagiaires les connaissances et les compétences nécessaires pour planifier et implémenter une infrastructure de service Active Directory à partir des besoins d'une entreprise fictive. et plus précisément : la création. présente aux stagiaires la gestion des maîtres d'opérations dans Active Directory. Ce module présente les concepts de base de la réplication et des sites dans Active Directory. Le module 10. présente aux stagiaires les emplacements des contrôleurs de domaine. à la configuration. Le module 8. « Implémentation d'une stratégie de groupe ». la planification d'une stratégie de site. « Gestion des maîtres d'opérations ». restaurer et analyser une base de données Active Directory. l'analyse et la résolution des échecs de réplication . explique comment déployer et gérer le logiciel à l'aide d'une stratégie de groupe. comment transférer et prendre le rôle de maître des opérations et comment planifier une stratégie de placement des maîtres d'opérations. Il décrit la fonction de chacun des cinq types de maîtres d'opérations. Le module 11. ainsi qu'à la planification du déploiement de logiciels. « Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe ». ce qui inclut les serveurs de catalogue global et les serveurs DNS intégrés à Active Directory. à la gestion de logiciels. la configuration et la gestion de sites . Ce module met l'accent sur la planification du placement des contrôleurs de domaine. Le module 7.

Il s'agit d'un contrôleur de domaine pour le domaine enfant corp. Il contient également les diapositives Microsoft PowerPoint® et les dossiers partagés des fichiers des ateliers. x étant le numéro de réseau de la classe.x.nwtraders. L'ordinateur supplémentaire de l'instructeur a pour nom Glasgow.168.168. Les outils d'administration et de support sont installés sur les deux ordinateurs de l'instructeur. Seuls les outils de support sont installés sur les ordinateurs des stagiaires. Les fichiers de distribution de Windows Server 2003 se trouvent dans le répertoire partagé \London\OS.msft.x.msft. Introduction 7 Configuration ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Fichiers de cours Les fichiers de ce cours qui sont associés aux ateliers se trouvent dans le dossier \MOC194\Labfiles sur les ordinateurs des stagiaires. Chaque ordinateur de stagiaire exécute Windows Server 2003 en tant que serveur membre du domaine nwtraders.24. de gauche à droite sur la diapositive. London.msft. est un contrôleur de domaine pour le domaine racine de la forêt. Chaque ordinateur de stagiaire possède l'une des adresses TCP/IP suivantes : de 192.168. le protocole DHCP (Dynamic Host Configuration Protocol) et les services DNS pour l'environnement de la classe. Les stagiaires installeront les outils d'administration sur leurs postes lors du Module 1. comme l'illustre la diapositive. Son adresse TCP/IP est 192.x. Configuration La configuration de la classe est une configuration de forêt unique comportant de la classe deux domaines. nwtraders.x. L'ordinateur principal de l'instructeur.201. Son adresse TCP/IP est 192.1 à 192.200 et il exécute le service WINS (Windows Internet Name Service). Il assure essentiellement la prise en charge des démonstrations et des ateliers de l'instructeur. .168.

Chaque paire correspondra à un domaine racine de forêt et à un domaine enfant. afin que les ordinateurs de chaque paire deviennent des contrôleurs de domaine d'un même domaine.8 Introduction La structure de domaine est modifiée au cours du Module 2. . La structure de domaine sera de nouveau modifiée au cours du Module 7. à la différence de la structure décrite précédemment. la nouvelle structure possède des forêts distinctes pour chaque paire d'ordinateurs stagiaire. Ces changements sont nécessaires pour compléter et renforcer les exercices des ateliers.

Introduction 9 Programme MOC ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Microsoft Formations et Certifications développe le programme MOC. dispensés par un instructeur et disponibles en ligne. un cours complémentaire d'une série recommandée ou un cours permettant d'acquérir une formation supplémentaire. Administration d'un environnement Microsoft Windows Server 2003 ! Cours 2149A. prennent en charge. Nous vous conseillons d'assister aux cours suivants dans l'ordre de leur classement : ! Cours 2144A. implémentent ou gèrent des solutions en utilisant des produits et des technologies Microsoft. Celui-ci recommandés peut être une compétence requise. Implémentation d'une infrastructure réseau Microsoft Windows Server 2003 : hôtes réseau . développent. Ces cours. Autres cours Chaque cours se réfère d'une certaine manière à un autre cours. y compris MSDN® Training. Maintenance d'un environnement Microsoft Windows Server 2003 ! Cours 2177A. pour les professionnels de l'informatique qui conçoivent. offrent une formation complète basée sur les compétences.

administration et maintenance d'une infrastructure réseau Microsoft Windows Server 2003 : services réseau ! Cours 2189A. Informations Microsoft Pour plus d'informations. implémentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003 Il se peut que d'autres cours traitant de ces sujets soient disponibles à l'avenir. si vous souhaitez des informations mises à jour à propos des formations recommandées. consultez le site Web Formations et Certifications.10 Introduction Programme MOC (suite) ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** ! Cours 2182A.microsoft.eu. Planification et maintenance d'une infrastructure réseau Microsoft Windows Server 2003 ! Cours 2194A. Par conséquent. Implémentation. consultez le site Web Microsoft Formations et Formations et Certifications à l'adresse http://www.com/france/formation. Certifications . Planification.

Examen de certification Ce cours aide les stagiaires à préparer l'examen 70-294 : Planification. Leurs tâches d'implémentation comprennent l'installation et la configuration d'au moins une partie de ces systèmes. ! MCSE sur Microsoft Windows Server 2003 La certification MCSE est la principale certification pour les professionnels dont le rôle consiste à analyser les besoins des entreprises pour ensuite concevoir et implémenter des infrastructures de solutions d'entreprise fondées sur la plate-forme Microsoft Windows 2000 et les logiciels serveurs de Microsoft. Certifications MCP Le programme MCP comprend les certifications ci-dessous. ! MCSA sur Microsoft Windows Server 2003 La certification MCSA (Microsoft Certified Systems Administrator) est destinée aux professionnels qui implémentent. implémentation et maintenance d'une infrastructure Active Directory sous Microsoft Windows Server 2003. Introduction 11 Programme MCP ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Microsoft Formations et Certifications propose diverses certifications pour les développeurs et les professionnels de l'informatique. leurs responsabilités englobent l'administration et le support technique de ces systèmes. gèrent et résolvent les problèmes des environnements réseau et système existants fondés sur des plates-formes Microsoft Windows 2000. . Leurs tâches d'implémentation comprennent l'installation. y compris la famille Windows Server 2003. dont la famille des serveurs Windows Server 2003. Le programme MCP est un programme de certification renommé qui valide votre expérience et vos connaissances pour assurer votre compétitivité sur un marché de l'emploi en pleine évolution. la configuration et la résolution des problèmes de systèmes réseau. En matière de gestion. L'examen 70-294 représente l'examen principal pour obtenir la certification MCSE (Microsoft Certified Systems Engineer).

création de services de données au moyen de Transact- SQL. ! MCT La certification MCT (Microsoft Certified Trainer) valide les compétences pédagogiques et techniques des personnes qui dispensent des cours MOC dans les centres de formation technique agréés Microsoft CTEC (Certified Technical Education Center). . surveillance et optimisation des bases de données. Elle couvre des tâches allant du développement et du déploiement à la maintenance de ces solutions. des clients Web ou de bureau. Cette certification valide les compétences dans les domaines suivants : mise à jour d'anciens modèles de bases de données physiques. ou des services principaux de données. les applications multiniveaux et les applications transactionnelles. de technologies.NET est destinée aux professionnels qui utilisent les technologies Microsoft pour développer et maintenir. Parmi les types d'applications que les titulaires d'une certification MCSD sont susceptibles de développer. ! MCSD La certification MCSD (Microsoft Certified Solution Developer) est la principale certification pour les professionnels qui conçoivent et développent des solutions d'entreprise de pointe à l'aide d'outils de développement. Il est nécessaire de bénéficier d'une expérience pratique du produit pour obtenir cette certification. ! MCP La certification MCP (Microsoft Certified Professional) s'adresse aux individus qui possèdent les compétences nécessaires pour implémenter un produit ou une technologie Microsoft au sein d'une solution d'entreprise dans une organisation. les applications Web. citons les applications de bureau et multi-utilisateurs. Les tâches qu'ils assument vont de l'analyse des besoins de l'entreprise à la maintenance des solutions mises en œuvre. développement de modèles de données logiques. ! MCDBA sur Microsoft SQL Server™ 2000 La certification MCDBA (Microsoft Certified Database Administrator) est la principale certification à l'intention des professionnels chargés de l'implémentation et de l'administration de bases de données Microsoft SQL Server. des composants. Cette certification est également destinée à ceux qui travaillent dans des équipes de développement d'applications professionnelles.12 Introduction ! MCAD La certification MCAD (Microsoft Certified Application Developer) pour Microsoft . gestion et maintenance des bases de données. création de bases de données physiques. configuration et gestion de la sécurité. et installation et configuration de SQL Server. des applications. de plates-formes Microsoft et de l'architecture Microsoft Windows DNA. au niveau de leur service.

com/ france/formation/cert/mcp/default.microsoft. . Introduction 13 Conditions requises Les critères retenus varient en fonction des certifications.com/france/formation/ cert/mcp/default. Le seul suivi des cours ne garantit pas nécessairement la réussite aux examens MCP : de l'expérience et des connaissances pratiques sont également nécessaires. vous pouvez utiliser les guides de préparation disponibles pour chaque examen. vous devez être reçu à des examens de certification rigoureux qui permettent d'évaluer de manières précise et fiable vos compétences et vos connaissances techniques. Ils dépendent des pour l'obtention des produits et des responsabilités professionnelles auxquels s'applique chacune de certifications ces certifications. Acquisition des Les cours MOC et MSDN Training peuvent vous aider à développer les compétences validées compétences nécessaires pour assumer vos fonctions. Ils renforcent également par un examen MCP l'expérience que vous avez acquise lors de l'utilisation des produits et technologies Microsoft. et les examens MCP. Ces guides sont disponibles sur le site Web Formations et Certifications de Microsoft France à l'adresse http://www. il n'existe pas de correspondance directe entre les cours de formation MOC et MSDN. Vous pouvez aussi envoyer un courrier électronique à l'adresse mcphelp@microsoft.microsoft. Pour devenir MCP. Chaque guide de préparation contient des informations spécifiques à un examen. telles que la liste des sujets sur lesquels vous serez interrogé.com pour toute question concernant les certifications.asp.asp. Pour préparer les examens MCP. Cependant. Pour plus d'informations Consultez le site Web Formations et Certifications de Microsoft France à l'adresse http://www.

14 Introduction Logistique ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** .

de planification et d'implémentation d'Active Directory 32 . Module 1 : Introduction à l'infrastructure Active Directory Table des matières Vue d'ensemble 1 Leçon : Architecture d'Active Directory 2 Leçon : Fonctionnement d'Active Directory 11 Leçon : Analyse d'Active Directory 21 Leçon : Processus de conception.

lieux et événements existants ou ayant existé serait purement fortuite. Windows. MS-DOS. les noms de domaines. droits d'auteur ou autres droits de propriété intellectuelle. les personnes. les logos. marques. logos. les produits. Tous droits réservés. Les produits mentionnés dans ce document peuvent faire l'objet de brevets. de dépôts de brevets en cours. photocopie. Microsoft. MSDN. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft. Visual C++ et Windows Media sont soit des marques de Microsoft Corporation. Sauf mention contraire. les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés.  2003 Microsoft Corporation.Les informations contenues dans ce document. aux États-Unis d'Amérique et/ou dans d'autres pays. Visio. soit des marques déposées de Microsoft Corporation. enregistrement ou autre). adresses de messagerie. Active Directory. Visual Basic. les adresses de messagerie. mécanique. ou transmise à quelque fin ou par quelque moyen que ce soit (électronique. noms de domaines. pourront faire l'objet de modifications sans préavis. de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Les autres noms de produit et de société mentionnés dans ce document sont des marques de leurs propriétaires respectifs. de marques. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son pays. Active X. personnes. la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets. sans la permission expresse et écrite de Microsoft Corporation. produits. PowerPoint. les sociétés. stockée ou introduite dans un système d'extraction. Sans limitation des droits d'auteur. Windows NT. . aucune partie de ce manuel ne peut être reproduite. notamment les adresses URL et les références à des sites Web Internet.

les stagiaires seront à même d'effectuer les tâches suivantes : ! décrire l'architecture d'Active Directory . anticiper les questions que les stagiaires sont susceptibles de poser et préparer des réponses appropriées pour chacune de ces questions . À la fin de ce module.swf ! Fichier Macromedia Flash 2194A_2279a_1_a_SSO. de planification et d'implémentation. ! décrire le fonctionnement d'Active Directory .ppt ! Fichier Macromedia Flash 2194A_2279a_01_a_logical. Module 1 : Introduction à l'infrastructure Active Directory iii Notes de l'instructeur Présentation : Ce module présente aux stagiaires l'infrastructure du service d'annuaire Active 90 minutes Directory®. et sa fonction d'annuaire. vous devez effectuer les tâches suivantes : ! lire tous les documents de cours relatifs à ce module . Documents de cours Pour animer ce module. ! utiliser des composants logiciels enfichables MMC d'administration pour analyser les composants d'Active Directory . ! étudier les applications pratiques et les questions d'évaluation ainsi que les suggestions de réponses fournies .swf Important Il est recommandé d'utiliser PowerPoint 2002 ou une version ultérieure pour afficher les diapositives de ce cours. tout au long du module. sa structure physique et logique. Le module présente également les composants logiciels enfichables MMC. ! décrire les processus de conception. ainsi que ses processus de conception. anticiper autant que possible les réponses que les stagiaires sont susceptibles de donner et préparer des réponses appropriées en conséquence. il se peut que toutes les fonctionnalités des diapositives ne s'affichent pas correctement. Si vous utilisez la Visionneuse PowerPoint ou une version antérieure de PowerPoint. de planification et d'implémentation d'Active Directory. Préparation Pour préparer ce module. les Atelier : outils de ligne de commande et l'environnement d'exécution de scripts 0 minute Windows (Windows Script Host) vous permettant d'analyser les composants Active Directory. vous devez disposer des éléments suivants : ! Fichier Microsoft® PowerPoint® 2194A_01. ! visionner les présentations multimédias .swf ! Fichier Macromedia Flash 2194A_2279a_01_a_physical. .

. Un module comprend au et ateliers minimum deux leçons. expliquez qu'une application pratique est une occasion pour les stagiaires d'effectuer les tâches décrites dans la leçon. Ils se servent des étapes décrites pour effectuer l'application pratique à la fin de chaque leçon. La plupart des leçons comprennent des procédures et une application pratique. Important Ce module inclut des éléments requis pour chaque leçon. Durant la classe. situés sur le CD-ROM du stagiaire. les applications applications pratiques pratiques et les ateliers ont été conçus pour ce cours. passez en revue ces informations dans la page des annexes sur le CD-ROM du stagiaire. indiquez ces annexes aux stagiaires pour obtenir des informations complémentaires. Les stagiaires n'effectuent pas les tâches en même temps que vous. ou demander aux stagiaires de préparer leurs réponses de leur côté. Vous pouvez choisir de parcourir ensemble les questions et les réponses. le module enchaîne sur un atelier. Une fois que les stagiaires ont terminé les leçons. Les stagiaires n'ont pas besoin de ces informations pour exécuter les tâches présentées dans ce module. Procédures. Vous pouvez les présenter en introduction pour aider les stagiaires à identifier les difficultés ou en conclusion pour valider leurs connaissances. Laissez 10 minutes aux stagiaires pour préparer leurs réponses aux questions d'évaluation. Vous pouvez aussi les traiter en début de journée pour passer en revue les éléments abordés la veille. Procédures Les procédures vous permettent de montrer comment effectuer une tâche. Avant d'animer la classe. Envisagez de les utiliser pour consolider les connaissances à la fin de la journée. Expliquez aux stagiaires de quelle manière les procédures. Applications pratiques Après avoir présenté le contenu d'une rubrique et les procédures de la leçon.iv Module 1 : Introduction à l'infrastructure Active Directory Comment animer ce module Cette section contient des informations qui ont pour but de vous aider à animer ce module. Remarque Certaines rubriques font référence à des informations complémentaires situées dans les annexes.

! Le concept de sites en tant qu'objets physiquement distincts. sa structure physique et logique. ! Le concept de contrôleurs de domaine comme objets physiquement distincts. si les stagiaires disposent d'un casque. décrivez également comment il aide les administrateurs à gérer les ressources présentes sur un réseau. résumez-en les points clés. Cette leçon décrit la fonction d'Active Directory. ils disposent d'un corrigé de chacun des ateliers sur le CD-ROM du stagiaire. Lorsque les stagiaires auront fini de visionner l'animation multimédia. double-cliquez sur le nœud du domaine). Assurez-vous que les stagiaires ont compris les points ci-dessous. Après l'introduction. ainsi que les rôles de maître d'opérations. Les stagiaires peuvent effectuer l'exercice à la fin de l'animation en groupe ou individuellement. Utilisez l'exercice comme point de départ de discussion sur le contenu de l'animation. Lorsque vous présentez la rubrique Rôle d'Active Directory. Utilisez l'animation Structure physique d'Active Directory pour présenter la structure physique d'Active Directory. l'atelier permet aux stagiaires de mettre en pratique toutes les tâches abordées dans l'ensemble du module. Présentez l'animation à toute la classe ou. différents des domaines. La colonne de droite contient des instructions spécifiques permettant d'effectuer la tâche (par exemple : à partir de la console Utilisateurs et ordinateurs Active Directory. ainsi que sa fonction en tant que service d'annuaire réseau . demandez-leur de la visionner individuellement. décrivez la fonction d'Active Directory dans Microsoft Windows Server™ 2003. En utilisant des scénarios correspondant à l'environnement professionnel du stagiaire. . vous pouvez utiliser les boutons de navigation pour accéder à une autre rubrique de l'animation. Module 1 : Introduction à l'infrastructure Active Directory v Ateliers À la fin de chaque module. créer un groupe). Leçon : Architecture d'Active Directory Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon. Ils peuvent également se reporter aux applications pratiques et aux procédures du module. Faites remarquer comment les sites optimisent le trafic de connexions et de réplications. chaque atelier propose des instructions présentées sous forme de deux colonnes. La colonne de gauche indique la tâche à effectuer (par exemple. et montrer comment les structures logique et physique fonctionnent conjointement pour répondre aux impératifs organisationnels. Utilisez l'animation Structure logique d'Active Directory pour présenter la structure logique d'Active Directory. Si les stagiaires ont besoin d'instructions détaillées pour mener à bien l'atelier.

assurez-vous que les stagiaires comprennent que celui-ci s'étend au niveau de la forêt. Celui-ci sera décrit plus loin dans le module. assurez-vous que les stagiaires qui ont travaillé avec Active Directory dans Microsoft Windows® 2000 comprennent l'importance de désactiver les modifications de schéma. Il s'agit d'une nouvelle fonctionnalité dans Windows Server 2003. Expliquez la fonction d'Active Directory en tant que service d'annuaire. implémentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003. Lorsque vous décrivez le rôle de maître du schéma. Les détails sur la gestion des contrôleurs de domaine qui gèrent ces rôles sont décrits dans le Module 9. le catalogue global et le protocole LDAP fonctionnent conjointement pour permettre d'accéder aux ressources et à d'autres fonctions Active Directory. Lorsque vous décrivez le schéma Active Directory. Lorsque vous expliquez le rôle du catalogue global. insistez sur la façon d'utiliser le protocole LDAP (Lightweight Directory Access Protocol) pour communiquer avec Active Directory. « Gestion des maîtres d'opérations ». Les attributs de chaque objet stocké dans le catalogue global sont suffisants pour permettre à Active Directory de localiser la ressource que l'objet représente. . Application pratique Cette leçon ne comporte pas d'application pratique. du cours 2194. De même qu'un annuaire téléphonique permet de retrouver un numéro de téléphone en fonction d'un nom. et qu'il ne contient qu'un sous-ensemble des attributs de chaque objet stocké dans Active Directory. Active Directory permet de localiser des ressources en fonction des attributs qui la décrivent. Elle présente également les compétences et les connaissances requises pour que les stagiaires comprennent comment Active Directory peut les aider à administrer les ressources et à résoudre les problèmes susceptibles de survenir lorsqu'ils tentent d'accéder à ces ressources. ne consacrez pas trop de temps à décrire le schéma. Leçon : Fonctionnement d'Active Directory Cette leçon décrit la fonction d'Active Directory en tant que service d'annuaire. Utilisez l'animation Ouverture de session unique avec Active Directory pour montrer aux stagiaires comment les valeurs d'attributs.vi Module 1 : Introduction à l'infrastructure Active Directory Lorsque vous présentez la rubrique Définition des maîtres d'opérations. Application pratique Cette leçon ne comporte pas d'application pratique. Vérifiez également que les stagiaires savent créer une chaîne de requête LDAP. Prenez l'exemple d'un annuaire téléphonique pour décrire la fonctionnalité d'un service d'annuaire. ne décrivez que la fonction de chaque rôle. Lorsque vous présentez la rubrique Définition d'un nom unique et d'un nom unique relatif. Planification.

Module 1 : Introduction à l'infrastructure Active Directory vii Leçon : Analyse d'Active Directory Cette leçon présente les composants logiciels enfichables MMC et les outils de ligne de commande permettant aux stagiaires de gérer Active Directory et d'analyser les objets Active Directory qui sont présentés dans la leçon Architecture d'Active Directory. Utilisez la rubrique Outils et composants logiciels enfichables d'administration d'Active Directory pour décrire les composants logiciels enfichables MMC les plus fréquents. Utilisez la rubrique Gestion d'Active Directory pour réviser ces modèles. de planification et d'implémentation d'Active Directory Cette leçon donne une vue d'ensemble des processus de conception. Les stagiaires doivent également être familiarisés avec les composants logiciels enfichables d'administration de l'interface graphique utilisateur (GUI. planification et implémentation. . utilisés pour gérer Active Directory. Ne consacrez pas trop de temps aux fonctionnalités de chaque outil. Application pratique Cette leçon ne comporte pas d'application pratique. de planification et d'implémentation d'Active Directory. Graphical User Interface). N'utilisez la rubrique Comment analyser Active Directory que pour réviser leur utilisation. Assurez-vous que les stagiaires comprennent la différence entre conception. Indiquez aux stagiaires les annexes à consulter pour plus d'informations sur l'utilisation de ADSI Edit. Application pratique À la fin de la leçon. Les stagiaires doivent être déjà familiarisés avec les modèles d'administration centralisés et décentralisés dans Active Directory. Leçon : Processus de conception. les stagiaires devront analyser la structure Active Directory de la forêt de la classe à l'aide des composants Utilisateurs et ordinateurs Active Directory. Domaines et approbations Active Directory et Sites et services Active Directory.

.

Objectifs À la fin de ce module. les outils de ligne de commande et l'environnement d'exécution de scripts Windows vous permettant de gérer les composants Active Directory. ! utiliser des composants logiciels enfichables d'administration pour analyser Active Directory . de planification et d'implémentation. . ! décrire les processus de conception. ainsi que ses processus de conception. ! décrire le fonctionnement d'Active Directory . de planification et d'implémentation d'Active Directory. Module 1 : Introduction à l'infrastructure Active Directory 1 Vue d'ensemble ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Ce module présente la structure physique et logique du service d'annuaire Active Directory®. vous serez à même d'effectuer les tâches suivantes : ! décrire l'architecture d'Active Directory . et sa fonction en tant qu'annuaire. Le module présente également les composants logiciels enfichables.

! décrire la structure physique d'Active Directory . Vous devez planifier les structures logique et physique d'Active Directory pour répondre à vos impératifs organisationnels. vous serez à même d'effectuer les tâches suivantes : ! décrire la fonction d'Active Directory . . ! décrire la structure logique d'Active Directory . ! décrire les rôles de maître d'opérations. Pour gérer Active Directory. Objectifs de la leçon À la fin de cette leçon.2 Module 1 : Introduction à l'infrastructure Active Directory Leçon : Architecture d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Active Directory inclut des composants qui constituent sa structure logique et physique. vous devez comprendre le rôle de ces composants et comment les utiliser.

permet aux seuls utilisateurs autorisés d'accéder aux ressources dans Active Directory. ! Stockage des objets de manière sécurisée dans une structure logique. Module 1 : Introduction à l'infrastructure Active Directory 3 Rôle d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Active Directory stocke des informations sur les utilisateurs. La centralisation du contrôle des ressources. des services réseau et des applications à partir d'un emplacement centralisé à l'aide d'une interface de gestion cohérente. de gérer et de sécuriser les informations concernant ces ressources. de localiser. ou distribuer des tâches d'administration en déléguant le contrôle des ressources à d'autres administrateurs. Il constitue un moyen cohérent de nommer. les fichiers partagés et les imprimantes. Les administrateurs peuvent gérer des ordinateurs clients distribués. réduisant d'autant la quantité de trafic réseau. ! Centralisation et décentralisation de la gestion des ressources. Il garantit. ils sont authentifiés par l'autorité d'authentification la plus proche de l'utilisateur. . La structure physique d'Active Directory vous permet d'utiliser plus efficacement la bande passante du réseau. par exemple. que lorsque des utilisateurs se connectent au réseau. afin de permettre aux utilisateurs et aux applications d'accéder à ces ressources. ! Optimisation du trafic réseau. les ordinateurs et les ressources du réseau. de décrire. d'accéder. Fonction d'Active Active Directory fournit les fonctions ci-dessous : Directory ! Centralisation du contrôle des ressources du réseau. Active Directory stocke toutes les ressources sous forme d'objets dans une structure logique hiérarchique sécurisée. comme les serveurs.

Certains objets en contiennent d'autres. Objectifs À la fin de cette présentation. Points clés Active Directory offre un stockage sécurisé pour les informations concernant les objets dans sa structure logique hiérarchique. Vous pouvez également déléguer l'autorité de gestion d'une unité d'organisation. ! discuter du rôle de ces éléments. la gestion et le dépannage d'Active Directory. cliquez sur Multimédia. ouvrez la page Web sur le CD-ROM du stagiaire. Lorsque vous aurez compris le rôle et la fonction de ces objets. Les classes d'objets sont des modèles pour les types d'objets que vous pouvez créer dans Active Directory. comme l'installation. vous serez à même d'effectuer les tâches suivantes : ! définir les éléments de la structure logique d'Active Directory . Vous utilisez ces objets conteneurs pour organiser d'autres objets de telle manière qu'ils prennent en compte vos objectifs administratifs. La structure logique d'Active Directory inclut les composants suivants : ! Les objets. ! Les unités d'organisation (OU. qui définit les valeurs possibles que vous pouvez associer à un objet. La disposition de ces objets par unité d'organisation simplifie la recherche et la gestion des objets. la configuration. Les objets Active Directory représentent des utilisateurs et des ressources. Il s'agit des composants les plus élémentaires de la structure logique. Chaque objet possède une combinaison unique de valeurs d'attributs. Organizational Unit). Les unités d'organisation peuvent être imbriquées les unes dans les autres. N'ouvrez pas cette présentation avant d'y être invité par l'instructeur. tels que des ordinateurs et des imprimantes. Chaque classe d'objet est définie par une liste d'attributs. ce qui simplifie d'autant la gestion d'objets. puis sur le titre de la présentation.4 Module 1 : Introduction à l'infrastructure Active Directory Présentation multimédia : Structure logique d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Emplacement de fichier Pour commencer la présentation Structure logique d'Active Directory. vous pourrez effectuer des tâches diverses. .

Le nom de ce domaine fait référence à la forêt. ! Les forêts. les domaines sont un ensemble d'objets définis administrativement qui partagent une base de données d'annuaire commune. Par défaut. Le premier domaine de la forêt est appelé le domaine racine de la forêt.nwtraders. des stratégies de sécurité et des relations d'approbation avec d'autres domaines. les informations dans Active Directory ne sont partagées qu'à l'intérieur de la forêt. la forêt est une limite de sécurité pour les informations contenues dans l'instance d'Active Directory. Ainsi. par exemple nwtraders.msft.msft. Les domaines disposent des trois fonctions suivantes : • Une limite d'administration pour objets • Une méthode de gestion de la sécurité pour les ressources partagées • Une unité de réplication pour les objets ! Les arborescences de domaines. Unités fonctionnelles centrales dans la structure logique d'Active Directory. Une forêt est une instance complète d'Active Directory. De cette manière. il devient enfant du domaine racine de l'arborescence. Dans une arborescence unique à deux niveaux. Elle consiste en une ou plusieurs arborescences. Le domaine auquel un domaine enfant est attaché est appelé domaine parent. Un domaine enfant peut à son tour avoir son propre domaine enfant. une arborescence a un espace de noms contigu. Module 1 : Introduction à l'infrastructure Active Directory 5 ! Les domaines. Le nom d'un domaine enfant est associé à celui de son domaine parent pour former son nom DNS (Domain Name System) unique. Lorsque vous ajoutez un second domaine à une arborescence. par exemple corp. qui est recommandée pour la plupart des organisations. . Les domaines regroupés en structures hiérarchiques sont appelés arborescences de domaines. tous les domaines enfants sont des enfants du domaine racine de la forêt afin de former une arborescence contiguë.

N'ouvrez pas cette présentation avant d'y être invité par l'instructeur. Points clés Contrairement à la structure logique. Pour optimiser l'utilisation par Active Directory de la bande passante du réseau. Un contrôleur de domaine ne peut gérer qu'un seul domaine. Pour assurer une disponibilité permanente d'Active Directory. qui modélise des exigences administratives. Chaque contrôleur de domaine exécute des fonctions de stockage et de réplication. . la structure physique d'Active Directory optimise le trafic réseau en déterminant où et quand se produit un trafic de connexions et de réplications. chaque domaine doit disposer de plusieurs contrôleurs de domaine. Ces ordinateurs exécutent Microsoft® Windows Server™ 2003 ou Windows® 2000 Server et Active Directory. vous serez à même d'effectuer les tâches suivantes : ! définir les éléments de la structure physique d'Active Directory . vous devez en comprendre la structure physique. Les éléments de la structure physique d'Active Directory sont : ! Les contrôleurs de domaine. puis sur le titre de la présentation.6 Module 1 : Introduction à l'infrastructure Active Directory Présentation multimédia : Structure physique d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Emplacement de fichier Pour commencer la présentation Structure physique d'Active Directory. cliquez sur Multimédia. Objectifs À la fin de cette présentation. ! discuter du rôle de ces éléments. ouvrez la page Web sur le CD-ROM des stagiaires.

« Implémentation de sites pour gérer la réplication Active Directory ». . implémentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003. Les partitions d'applications sont répliquées dans des contrôleurs de domaine spécifiés dans la forêt. • La partition de schéma contient le schéma étendu au niveau de la forêt. Remarque Pour plus d'informations sur les partitions Active Directory. Chaque forêt comporte un schéma de sorte que la définition de chaque classe d'objet est cohérente. • Les partitions d'applications facultatives contiennent des objets non liés à la sécurité et utilisés par une ou plusieurs applications. La partition de domaine n'est répliquée que dans d'autres contrôleurs appartenant au même domaine. les contrôleurs de domaine au sein d'un même site communiquent fréquemment. implémentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003. Remarque Pour plus d'informations sur les sites Active Directory. Vous pouvez donc créer des sites pour optimiser l'utilisation de la bande passante entre des contrôleurs de domaines situés à des emplacements différents. du cours 2194. reportez- vous au Module 7. Lorsque vous créez des sites. Chaque contrôleur de domaine contient les partitions Active Directory suivantes : • La partition de domaine contient les réplicas de tous les objets de ce domaine. Ces communications réduisent le délai de latence de réplication à l'intérieur du site . ! Partitions Active Directory. reportez-vous au Module 7. autrement dit. Les partitions de configuration et de schéma sont répliquées dans chaque contrôleur de domaine dans la forêt. du cours 2194. « Implémentation de sites pour gérer la réplication Active Directory ». le temps requis pour qu'une modification effectuée sur un contrôleur de domaine soit répliquée sur d'autres contrôleurs de domaine. Module 1 : Introduction à l'infrastructure Active Directory 7 ! Les sites Active Directory. • La partition de configuration contient la topologie de la forêt. La topologie est un enregistrement de tous les contrôleurs de domaine et des connexions entre eux dans une forêt. Planification. Ces sites sont des groupes d'ordinateurs connectés par des liaisons rapides. Planification.

seul le contrôleur de domaine possédant ce rôle peut effectuer les modifications dans l'annuaire correspondant. vous utiliserez une réplication à maître unique. Rôles de maître Les opérations utilisant une réplication à maître unique sont regroupées dans d'opérations des rôles spécifiques dans une forêt ou un domaine. Pour chaque rôle de maître d'opérations. sont répliquées dans tous les domaines de la forêt. comme l'ajout d'un nouveau domaine ou une modification dans le schéma au niveau de la forêt. qui désigne un contrôleur de domaine comme étant le seul sur lequel certaines modifications de l'annuaire peuvent être effectuées. un conflit de réplication peut se produire si unique des mises à jour d'origine sont effectuées simultanément sur le même attribut d'un objet sur de deux contrôleurs de domaine. Cette réplication est appelée réplication multimaître. Active Directory stocke les informations concernant le contrôleur de domaine qui joue un rôle spécifique. Le contrôleur de domaine responsable d'un rôle particulier est appelé maître d'opérations pour ce rôle. des modifications ne peuvent intervenir simultanément sur différents endroits du réseau. Active Directory utilise une réplication à maître unique pour des modifications importantes. Opérations de maître Lors d'une réplication multimaître. telles que celles apportées au schéma.8 Module 1 : Introduction à l'infrastructure Active Directory Définition des maîtres d'opérations ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Lorsqu'un domaine est modifié. Pour éviter des conflits de réplication. Ces rôles sont appelés rôles de maître d'opérations. Ainsi. . la modification est répliquée sur tous les contrôleurs du domaine. Certaines modifications.

L'émulateur PDC est le premier contrôleur de domaine que vous créez dans un nouveau domaine. • Le maître d'attribution des noms de domaine. Security IDentifier) unique. Le maître RID alloue des blocs d'identificateurs relatifs à chaque contrôleur de domaine du domaine. le contrôleur de domaine crée une nouvelle entité de sécurité qui représente l'objet et auquel elle affecte un identificateur de sécurité (SID. Particuliers à une forêt. les rôles couvrant un domaine sont : • L'émulateur de contrôleur principal de domaine (PDC. Backup Domain Controller) exécutant Microsoft Windows NT au sein d'un domaine en mode mixte. Il contrôle l'ajout ou la suppression de domaines dans la forêt. L'ensemble de la forêt ne contient qu'un seul contrôleur de schéma et qu'un seul maître d'attribution des noms de domaine. Cet identificateur consiste en un identificateur de sécurité de domaine. qui est le même pour toutes les entités de sécurité créées dans le domaine. chacun possédant un emplacement par défaut. Primary Domain Controller). Il se comporte comme un contrôleur principal de domaine Windows NT pour la prise en charge de tout contrôleur secondaire de domaine (BDC. les ordinateurs et les imprimantes. ! Rôles étendus au niveau d'une forêt.0. . les rôles étendus au niveau d'une forêt sont : • Le contrôleur de schéma. Ce type de domaine possède des contrôleurs de domaine exécutant Windows NT 4. seul le contrôleur de domaine possédant le rôle de maître d'attribution des noms de domaine peut ajouter le nouveau domaine. Il contrôle toutes les mises à jour du schéma. Les rôles de maître d'opérations s'étendent au niveau d'une forêt ou d'un domaine. ! Rôles étendus au niveau d'un domaine. • Le maître des identificateurs relatifs (maître RID). et en un identificateur relatif (RID. Relative IDentifier) qui est unique pour chaque entité de sécurité créée dans le domaine. Module 1 : Introduction à l'infrastructure Active Directory 9 Active Directory définit cinq rôles de maître d'opérations. Lorsqu'un nouvel objet est créé. comme les utilisateurs. Particuliers à chaque domaine dans une forêt. Le schéma contient la liste principale des classes et des attributs d'objets utilisés pour créer tous les objets Active Directory. Le contrôleur de domaine affecte ensuite un maître RID aux objets créés à partir de son bloc de maîtres RID alloués. Lorsque vous ajoutez un domaine à la forêt.

maître RID et maître d'infrastructure. par exemple des déplacements à l'intérieur d'un domaine et entre domaines. Dans une forêt. Planification. du cours 2194.10 Module 1 : Introduction à l'infrastructure Active Directory • Le maître d'infrastructure. reportez-vous au Module 9. « Gestion des maîtres d'opérations ». Active Directory met régulièrement à jour le nom unique et l'identificateur de sécurité sur la référence d'objet afin de refléter les modifications apportées à l'objet réel. et la suppression de l'objet. chaque domaine possède ses propres émulateur PDC. son nom unique. Remarque Pour plus d'informations sur les rôles de maître d'opérations. Lorsque des objets sont déplacés d'un domaine vers un autre. implémentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003. . et un identificateur de sécurité. Globally Unique IDentifier) de l'objet. le maître d'infrastructure met à jour dans son domaine les références d'objets qui pointent sur l'objet dans l'autre domaine. La référence d'objet contient l'identificateur global unique (GUID.

! décrire comment Active Directory active l'ouverture de session unique. Module 1 : Introduction à l'infrastructure Active Directory 11 Leçon : Fonctionnement d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Cette leçon présente la fonction d'Active Directory en tant que service d'annuaire. ! définir le rôle du catalogue global . ! définir le rôle du schéma Active Directory et son utilisation . . ! déterminer le nom unique et le nom unique relatif d'un objet Active Directory . Comprendre le fonctionnement d'Active Directory vous aidera à gérer les ressources et à résoudre les problèmes d'accès à ces ressources. vous serez à même d'effectuer les tâches suivantes : ! décrire la fonction d'Active Directory en tant que service d'annuaire . Objectifs de la leçon À la fin de cette leçon.

Définition d'un service Un service d'annuaire est un référentiel d'informations structuré concernant d'annuaire les personnes et les ressources d'une organisation. Pour permettre aux utilisateurs et aux applications d'accéder à ces ressources et aux informations les concernant. localiser. décrire. Fonctionnalités Active Directory dispose des fonctionnalités suivantes : d'Active Directory ! Accès pour les utilisateurs et les applications aux informations concernant des objets. une méthode cohérente est nécessaire pour nommer.12 Module 1 : Introduction à l'infrastructure Active Directory Définition d'un service d'annuaire ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Dans de grands réseaux. Dans un réseau Windows Server 2003. Ces informations sont stockées sous forme de valeurs d'attributs. sans savoir où celle-ci se trouve ou comment elle est connectée physiquement au réseau. leurs valeurs d'attributs et leur emplacement au sein de la structure Active Directory ou selon toute combinaison de ces valeurs. leurs attributs. accéder. Un service d'annuaire remplit cette fonction. Vous pouvez rechercher des objets selon leur classe d'objet. ! Transparence des protocoles et de la topologie physique du réseau. Un utilisateur sur un réseau peut accéder à toute ressource. le service d'annuaire s'appelle Active Directory. une imprimante par exemple. . gérer et sécuriser les informations concernant ces ressources. les ressources sont partagées par de nombreux utilisateurs et applications.

L'exécution en tant que service indépendant du système d'exploitation signifie que plusieurs instances AD/AM peuvent s'exécuter simultanément sur un serveur unique. un annuaire peut ainsi passer d'un serveur unique contenant quelques centaines d'objets à des milliers de serveurs contenant des millions d'objets. AD/AM s'exécute comme un service indépendant du système d'exploitation qui.microsoft. ! Possibilité d'exécution en tant que service indépendant du système d'exploitation.com/windowsserver2003/techinfo/overview/adam.mspx (en anglais). AD/AM (Active Directory in Application Mode) est une nouvelle fonctionnalité de Microsoft Active Directory permettant de résoudre certains scénarios de déploiement liés à des applications utilisant un annuaire. chaque instance étant configurable de manière indépendante. Remarque Pour plus d'informations sur AD/AM. ne nécessite pas de déploiement sur un contrôleur de domaine. Active Directory peut répondre aux besoins issus de la croissance d'une organisation. en tant que tel. . Par exemple. reportez-vous à la page « Introduction to Windows Server 2003 Active Directory in Application Mode » à l'adresse suivante : http://www. Comme il est organisé en partitions. Module 1 : Introduction à l'infrastructure Active Directory 13 ! Possibilité de stockage d'un très grand nombre d'objets.

Les contrôleurs de domaine exécutant Windows Server 2003 ne comportent qu'un seul schéma pour toute une forêt. Active Directory comme les utilisateurs. les types d'informations concernant ces objets. Chaque classe d'objet est un ensemble d'attributs. les ordinateurs et les imprimantes stockés dans Active Directory. . Les classes d'objets comme utilisateur. Ainsi. et la configuration de sécurité par défaut pour les objets pouvant être stockés dans Active Directory. Remarque Pour plus d'informations sur le développement du schéma Active Directory. consultez l'article en ligne « Extending the Schema » (en anglais) dans la bibliothèque MSDN. mais il n'est défini qu'une seule fois dans le schéma afin de préserver la cohérence. Par exemple. telles que les adresses de messagerie des utilisateurs. Chaque attribut n'est défini qu'une seule fois et peut être utilisé dans plusieurs classes d'objets. vous pouvez développer la classe d'utilisateur dans Active Directory en lui ajoutant de nouveaux attributs stockant des informations supplémentaires. pour une application de serveur de messagerie. ordinateur et imprimante décrivent les objets d'annuaire possibles que vous pouvez créer. Par exemple. tous les objets créés dans Active Directory se conforment aux mêmes règles. Les attributs sont définis séparément des classes d'objets. Le schéma possède deux types de définitions : les classes d'objets et les attributs.14 Module 1 : Introduction à l'infrastructure Active Directory Définition d'un schéma ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Le schéma Active Directory définit les genres d'objets. Schéma Active Directory Vous pouvez créer de nouveaux types d'objets dans Active Directory en et extensibilité développant le schéma. Définition du schéma Le schéma Active Directory contient les définitions de tous les objets. l'attribut Description est utilisé dans de nombreuses classes d'objets.

Vous pourriez. permettant ainsi aux organisations de mieux exploiter les fonctionnalités d'extensibilité d'Active Directory. vous pouvez annuler des désactivation de schéma modifications apportées à un schéma en les désactivant. modifier la syntaxe de la chaîne Unicode d'un attribut appelé SalesManager pour en faire un nom unique. . par exemple. Module 1 : Introduction à l'infrastructure Active Directory 15 Modifications et Sur les contrôleurs de domaine Windows Server 2003. Vous pouvez également redéfinir une classe ou un attribut de schéma.

Le premier contrôleur de domaine que vous créez dans Active Directory devient automatiquement un serveur de catalogue global. en fonction des impératifs d'une organisation. ! les autorisations d'accès pour chaque objet et attribut stocké dans le catalogue global. En l'absence de serveur de catalogue global. et son nom d'ouverture de session . Si vous recherchez un objet pour lequel vous ne possédez pas les autorisations de visualisation requises. un serveur de catalogue global traite la requête dans le catalogue global. Les membres du groupe Administrateurs du schéma peuvent modifier les attributs stockés dans le catalogue global. Le catalogue global d'Active Directory permet de rechercher des ressources parmi des domaines et des forêts de manière transparente pour l'utilisateur. cette requête exigerait une recherche dans chaque domaine de la forêt. comme les nom et prénom d'un utilisateur.16 Module 1 : Introduction à l'infrastructure Active Directory Définition d'un catalogue global ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Dans Active Directory. ! un sous-ensemble d'attributs par défaut pour chaque type d'objet . si vous recherchez toutes les imprimantes présentes dans une forêt. Par exemple. Les autorisations d'accès garantissent que les utilisateurs ne puissent trouver que les objets pour lesquels ils possèdent un droit d'accès. Le catalogue global contient : ! les attributs les plus fréquemment utilisés dans les requêtes. Définition du catalogue Le catalogue global est un référentiel d'informations qui contient un sous- global ensemble des attributs de tous les objets d'Active Directory. . ! les informations requises pour déterminer l'emplacement de tout objet dans l'annuaire . Définition d'un serveur Un serveur de catalogue global est un contrôleur de domaine qui traite de catalogue global efficacement les requêtes intraforêts dans le catalogue global. puis renvoie les résultats. Vous pouvez configurer des serveurs de catalogue global supplémentaires pour équilibrer le trafic lié aux authentifications de connexion et aux requêtes. cet objet n'apparaîtra pas dans les résultats de la recherche. les ressources peuvent être partagées parmi des domaines et des forêts.

Module 1 : Introduction à l'infrastructure Active Directory 17 Fonctions du catalogue Le catalogue global permet aux utilisateurs d'exécuter deux fonctions global importantes : ! trouver les informations Active Directory en tout point de la forêt. ! utiliser les informations d'appartenance au groupe universel pour se connecter au réseau. Planification. du cours 2194. reportez-vous au Module 8. . indépendamment de l'emplacement des données . « Implémentation de l'emplacement des contrôleurs de domaine ». implémentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003. Remarque Pour plus d'informations sur le catalogue global.

Deux objets situés dans un même conteneur ne peuvent porter le même nom.500 relative aux services d'annuaire. Le nom unique relatif d'un objet identifie l'objet de manière unique dans son conteneur. Définition Le protocole LDAP utilise un nom représentant un objet Active Directory par une série de composants concernant la structure logique. Il utilise les informations portant sur la structure d'un annuaire pour trouver des objets individuels possédant chacun un nom unique. Un nom de ce type ne peut être qu'unique dans une forêt Active Directory. . Le protocole LDAP est un sous-ensemble de la norme ISO X.18 Module 1 : Introduction à l'infrastructure Active Directory Définition d'un nom unique et d'un nom unique relatif ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Les ordinateurs clients utilisent le protocole LDAP pour rechercher et modifier des objets dans une base de données Active Directory. mais il n'est pas toujours un nom usuel. appelée nom unique de l'objet. Le nom unique relatif est toujours le premier composant du nom unique. identifie le domaine dans lequel se trouve l'objet ainsi que le chemin complet permettant d'accéder à celui-ci. Cette représentation.

Sales est le nom unique relatif d'une unité unique relatif d'organisation représentée par le chemin LDAP suivant : OU=Sales.OU=Sales.Plusieurs valeurs d'OU peuvent exister si l'objet se trouve dans une unité d'organisation imbriquée.DC=contoso.DC=msft ! CN (Common Name) est le nom usuel de l'objet dans son conteneur. ! OU (Organizational Unit) est l'unité d'organisation qui contient l'objet. voire davantage si le domaine est un domaine enfant. ! DC (Domain Component) est un composant de domaine. Exemple de nom Dans l'exemple suivant. Les composants de domaine du nom unique sont basés sur le DNS (Domain Name System). Module 1 : Introduction à l'infrastructure Active Directory 19 Exemple de nom unique Chaque élément de la structure logique de l'utilisatrice Laura Bartoli de l'unité d'organisation Sales (Ventes) du domaine Contoso. Il existe toujours au moins deux composants de domaine.msft est représenté dans le nom unique suivant : CN=Laura Bartoli. tel que « com » ou « msft ».DC=msft .DC=contoso.

vous serez à même d'effectuer les tâches suivantes : ! décrire la procédure utilisée par Active Directory pour activer une ouverture de session unique . cliquez sur Multimédia. Une ouverture de session unique consiste en : ! une authentification. qui vérifie que la demande de connexion est autorisée.20 Module 1 : Introduction à l'infrastructure Active Directory Présentation multimédia : Ouverture de session unique avec Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Emplacement de fichier Pour commencer la présentation Ouverture de session unique avec Active Directory. ouvrez la page Web sur le CD-ROM des stagiaires. ! discuter de l'importance d'une ouverture de session unique. puis sur le titre de la présentation. . vous devez comprendre le fonctionnement de ces processus afin d'optimiser et de dépanner votre structure Active Directory. qui vérifie les autorisations de la tentative de connexion . En tant qu'ingénieur système. ! une autorisation. Objectifs À la fin de cette présentation. Points clés L'activation d'une ouverture de session unique permet à Active Directory de rendre transparents pour l'utilisateur les processus complexes d'authentification et d'autorisation. N'ouvrez pas cette présentation avant d'y être invité par l'instructeur. Les utilisateurs n'ont pas besoin de gérer plusieurs ensembles d'autorisations.

les administrateurs disposent de composants logiciels enfichables et d'outils de ligne de commande pour gérer Active Directory. et explique comment les utiliser pour analyser la structure logique et physique d'Active Directory. ! décrire les composants logiciels enfichables d'administration d'Active Directory et les outils de ligne de commande courants . Objectifs de la leçon À la fin de cette leçon. vous serez à même d'effectuer les tâches suivantes : ! expliquer comment Active Directory est conçu pour permettre une gestion centralisée et décentralisée . Module 1 : Introduction à l'infrastructure Active Directory 21 Leçon : Analyse d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Sous Windows Server 2003. ! analyser la structure logique et physique d'Active Directory. . Cette leçon présente ces composants et outils.

! Vous pouvez spécifier des paramètres de stratégie de groupe pour un site. à l'aide d'outils prenant en charge le protocole LDAP. comme les informations concernant toutes les ressources du réseau sont stockées dans Active Directory. un domaine. ou une unité d'organisation. Un administrateur possédant l'autorité requise peut déléguer un ensemble sélectionné de privilèges administratifs à d'autres utilisateurs ou groupes dans une organisation. à l'aide des outils et des composants logiciels enfichables d'administration de Windows Server 2003. Active Directory prend également en charge l'administration décentralisée. Cette délégation simplifie le travail de gestion de ces objets et vous permet de structurer Active Directory en fonction des impératifs de votre organisation. d'imprimantes et de ressources réseau à partir d'un emplacement centralisé. d'ordinateurs. ! Vous pouvez interroger Active Directory à l'aide de protocoles tels que LDAP.22 Module 1 : Introduction à l'infrastructure Active Directory Gestion d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction L'utilisation d'Active Directory vous permet de gérer un grand nombre d'utilisateurs. ! Vous pouvez grouper en unités d'organisation des objets possédant des exigences similaires en termes d'administration et de sécurité. Vous pouvez aisément localiser des informations concernant des objets en recherchant des attributs sélectionnés de l'objet. de sorte que vous pouvez appliquer des paramètres de stratégie de groupe et déléguer le contrôle administratif. Les unités d'organisation offrent plusieurs niveaux d'autorité administrative. . un administrateur peut gérer et administrer ces ressources de façon centralisée. Les attributs contiennent des données qui décrivent la ressource que l'objet identifie . Active Directory applique ensuite ces paramètres de stratégie de groupe à tous les utilisateurs et ordinateurs à l'intérieur du conteneur. Prise en charge par Active Directory inclut plusieurs fonctionnalités de prise en charge de la gestion Active Directory de la centralisée : gestion centralisée ! Informations concernant tous les objets et leurs attributs.

Vous pouvez déléguer l'affectation des autorisations : ! pour des unités d'organisation spécifiques à différents groupes de Domaine local . ! pour exécuter la même tâche. . Vous Active Directory de la pouvez affecter des autorisations et accorder des droits aux utilisateurs de gestion décentralisée manière très spécifique. délégation de l'autorisation Contrôle total pour l'unité d'organisation Sales . par exemple réinitialiser les mots de passe. Module 1 : Introduction à l'infrastructure Active Directory 23 Prise en charge par Active Directory prend également en charge la gestion décentralisée. dans toutes les unités d'organisation d'un domaine. déléguer des privilèges administratifs sur certains objets aux équipes de ventes et de marketing d'une organisation. Vous pouvez. par exemple. adresse et numéro de téléphone d'un utilisateur et de réinitialiser les mots de passe sur l'objet compte d'utilisateur . ! pour modifier des attributs spécifiques d'un objet dans une unité d'organisation . affecter l'autorisation permettant de modifier les nom. par exemple. par exemple.

Vous pouvez également gérer Active Directory à l'aide d'objets ADSI (Active Directory Service Interfaces) à partir de l'environnement d'exécution de scripts Windows. Composants logiciels Le tableau suivant décrit quelques composants logiciels enfichables enfichables d'administration courants permettant de gérer Active Directory. gérer des stratégies de compte ainsi que des droits d'utilisateur. ajouter des ordinateurs à un domaine. Vous devez l'ajouter manuellement. Sites et services Active Cette console MMC vous permet de gérer la réplication de données d'annuaire. Domaines et approbations Cette console MMC est utilisée pour gérer des approbations de domaines et de forêts. . Active Directory ajouter des suffixes au nom d'utilisateur principal. Vous pouvez gérer des comptes d'utilisateur. des groupes et des comptes d'ordinateurs.24 Module 1 : Introduction à l'infrastructure Active Directory Outils et composants logiciels enfichables d'administration d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Windows Server 2003 comporte plusieurs composants logiciels enfichables et outils de ligne de commande permettant de gérer Active Directory. ADSI est une interface simple mais néanmoins puissante d'Active Directory permettant de créer des scripts réutilisables pour la gestion d'Active Directory. Il n'est pas disponible par défaut dans le menu Outils d'administration. et procéder à l'audit de la stratégie. d'administration Composant logiciel enfichable Description Utilisateurs et ordinateurs Cette console MMC (Microsoft Management Console) est utilisée pour la gestion et Active Directory la publication d'informations dans Active Directory. Directory Schéma Active Directory Cette console MMC vous permet de gérer le schéma. et modifier les niveaux fonctionnels de domaines et de forêts.

Dsget Affiche des attributs sélectionnés d'un ordinateur. L'éditeur ADSI Edit n'est pas installé par défaut. des utilisateurs. des groupes. et charger dans Active Directory des données d'autres services d'annuaire. des groupes. Dsrm Supprime un objet dans Active Directory. des unités d'organisation et des contacts. Outils de ligne de Le tableau suivant décrit quelques outils courants de ligne de commande. des unités d'organisation et des partitions. Remarque Pour plus d'informations sur les outils de ligne de commande fournis par Windows Server 2003. d'un groupe. Module 1 : Introduction à l'infrastructure Active Directory 25 Remarque Vous pouvez utiliser également l'éditeur ADSI Edit pour visualiser. reportez-vous à la section « Gestion d'Active Directory à partir de la ligne de commande » dans Aide et Support. des ordinateurs. modifie et supprime des objets Active Directory. d'administration Outil Description Dsadd Ajoute dans Active Directory des objets. des utilisateurs. des utilisateurs. des unités d'organisation et des contacts. installez les outils de support de Windows Server 2003 à partir du dossier \Support\Tools sur le CD-ROM du produit. à l'intérieur d'un domaine. Vous pouvez exécuter des requêtes portant sur des serveurs. comme des ordinateurs. exporter des informations utilisateur et de groupe vers d'autres applications ou services. modifier et supprimer des objets dans Active Directory. comme des ordinateurs. Dsmod Modifie dans Active Directory des objets. des groupes. Dsquery Exécute des requêtes dans Active Directory en fonction de critères spécifiés. des serveurs. vers un nouvel emplacement dans Active Directory ou renomme un objet unique sans le déplacer. des sites. créer. . d'un contact. Csvde Importe et exporte des données Active Directory à l'aide d'un format de séparation par virgule. commande utilisables lorsque vous gérez Active Directory. Peut également prolonger le schéma Active Directory. d'un serveur ou d'un utilisateur dans Active Directory. Dsmove Déplace un objet unique. d'une unité d'organisation. Pour en bénéficier. Ldifde Crée. Vous pouvez également regrouper dans une même console toutes les consoles requises pour chaque fonction d'administration. Vous pouvez personnaliser les consoles d'administration afin qu'elles correspondent aux tâches d'administration que vous déléguez à d'autres administrateurs.

! supprimer des objets dans Active Directory . ADSI utilise le protocole LDAP pour communiquer avec Active Directory. vous pouvez procéder plus rapidement à des modifications à l'aide de scripts. Vous pouvez créer des scripts à partir de l'environnement d'exécution de scripts Windows utilisant ADSI pour exécuter les tâches suivantes : ! extraire les informations concernant les objets Active Directory . ceux-ci Windows ne sont pas adaptés pour des opérations de commandes destinées à effectuer des modifications dans Active Directory impliquant des conditions complexes. En pareils cas.26 Module 1 : Introduction à l'infrastructure Active Directory Environnement Bien que Windows Server 2003 fournisse plusieurs composants logiciels d'exécution de scripts enfichables et outils de ligne de commande pour gérer Active Directory. ! modifier les valeurs d'attributs pour les objets Active Directory . Vous pouvez. ! étendre le schéma Active Directory. ! ajouter des objets dans Active Directory . en remplaçant alors les chiffres 3 et 4 par le chiffre 5. . par exemple. remplacer le premier chiffre de l'extension téléphonique de tous les employés transférés dans le bâtiment 5.

b. Déterminez le type d'objet en utilisant les informations de classe d'objet sous l'onglet Objet. puis cliquez sur Utilisateurs et ordinateurs Active Directory. Procédure Procédez comme suit pour visualiser la structure logique et physique d'Active Directory : 1. développez le nœud qui représente le domaine racine de la forêt pour visualiser les domaines qui constituent la structure logique d'Active Directory. 2. Ouvrez Domaines et approbations Active Directory pour visualiser la structure logique d'Active Directory. procédez comme suit : a. Affichez la page Propriétés pour chaque conteneur figurant dans l'arborescence de la console. Pour ce faire. c. pointez sur Tous les programmes. e. . Dans l'arborescence de la console. Sites et services Active Directory et Domaines et approbations Active Directory. Dans l'arborescence de la console. d. Cliquez sur Démarrer. Cliquez sur Démarrer. Ouvrez la console Utilisateurs et ordinateurs Active Directory et visualisez les unités d'organisation dans Active Directory. Module 1 : Introduction à l'infrastructure Active Directory 27 Comment analyser Active Directory ? ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Vous pouvez visualiser la structure logique et physique d'Active Directory à l'aide des composants Utilisateurs et ordinateurs Active Directory. puis cliquez sur Domaines et approbations Active Directory. développez le domaine dont vous désirez visualiser les unités d'organisation. Pour ce faire. b. développez Utilisateurs et ordinateurs Active Directory. puis sur Outils d'administration. La classe d'objet pour unités d'organisation est Unité d'organisation. puis sur Outils d'administration. procédez comme suit : a. Dans le volet gauche. pointez sur Tous les programmes.

Pour ce faire. pointez sur Tous les programmes. c. Remarque Pour plus d'informations. puis sur Outils d'administration. Ouvrez Sites et services Active Directory pour visualiser la structure physique d'Active Directory. Cliquez sur Démarrer. . puis le dossier représentant le site dont vous désirez visualiser la liste de serveurs.28 Module 1 : Introduction à l'infrastructure Active Directory 3. b. développez Sites. Cliquez sur Servers pour visualiser la liste de serveurs dans le volet droit. procédez comme suit : a. puis cliquez sur Sites et services Active Directory. reportez-vous à la section « Comment analyser Active Directory » du Module 1 située en annexe sur le CD-ROM du stagiaire. Dans l'arborescence de la console.

Module 1 : Introduction à l'infrastructure Active Directory 29 Application pratique : Analyse de la structure d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Objectifs Vous allez analyser dans cette application pratique la structure logique et physique d'Active Directory. b. À l'invite de commande. Application pratique ! Analyser la structure par défaut des objets Active Directory à l'aide de la console Utilisateurs et ordinateurs Active Directory 1.msi et appuyez sur ENTRÉE. cliquez avec le bouton droit sur Invite de commande. 2. Dans la boîte de dialogue Téléchargement de fichier. c. Installez le jeu d'outils d'administration Windows Server 2003. Fermez la fenêtre d'invite de commande. Ouvrez une session sous le nom nwtraders\Nom_OrdinateurUser avec le mot de passe P@ssw0rd. 4. puis le mot de passe P@ssw0rd et cliquez sur OK. Dans la boîte de dialogue Exécuter en tant que. Ouvrez la console Utilisateurs et ordinateurs Active Directory. tapez nwtraders\administrateur comme nom d'utilisateur. puis sur Exécuter en tant que. . cliquez sur Ouvrir. d. Pour ce faire. Scénario Vous commencez aujourd'hui à travailler comme ingénieur système chez Northwind Traders. cliquez sur L'utilisateur suivant. tapez \London\OS\i386\Adminpak. Votre responsable vous a demandé d'étudier la structure logique et physique d'Active Directory chez Northwind Traders. Cliquez sur Démarrer. 3. procédez comme suit : a. Activez les fonctionnalités avancées. puis terminez l'installation. e.

____________________________________________________________ ____________________________________________________________ 8. Développez Locations.30 Module 1 : Introduction à l'infrastructure Active Directory 5. Ouvrez l'un des conteneurs représentant un emplacement. ____________________________________________________________ ____________________________________________________________ 7. Les objets du dossier Locations représentent des emplacements géographiques dans une organisation. Computers et Groups. . puis cliquez sur Propriétés. Chaque emplacement contient trois objets. Quel est le type de l'objet ? L'objet Locations est une unité d'organisation. et trouvez l'objet Locations. Quel est le rôle de ces objets ? Chaque unité d'organisation nom_ville contient trois unités d'organisation appelées Users. Quels sont les types d'objets dans le dossier ? L'unité d'organisation Locations contient 25 unités d'organisation. Que remarquez-vous à propos des objets qui se trouvent dans ce conteneur ? Tous les objets utilisateur sont désactivés. 2. ____________________________________________________________ ! Analyser la structure par défaut d'Active Directory à l'aide du composant Sites et services Active Directory 1. Développez nwtraders. dont chacune porte le nom d'une ville différente.msft. Ces unités d'organisation sont conçues pour recevoir respectivement des objets utilisateurs. puis ouvrez le conteneur Users. Ouvrez la console Site et services Active Directory. ordinateurs et groupes. Développez Sites. cliquez avec le bouton droit sur Premier-Site-par- defaut. ____________________________________________________________ ____________________________________________________________ 6.

____________________________________________________________ . Créer tous les objets enfants. Choisissez de gérer le domaine corp. Ouvrir la file d'attente de connecteurs et Autorisations spéciales sur le site Premier-Site-par-defaut. Cette étape vous amène à Utilisateurs et ordinateurs Active Directory. Visualisez les autorisations affectées au groupe Admins du domaine pour l'objet Premier-Site-par-defaut\Servers\London. Que remarquez-vous ? Cette étape indique les approbations en place pour le domaine. Que remarquez-vous ? Admins du domaine possède les autorisations Contrôle total sur l'objet serveur London. Sous l'onglet Sécurité. ____________________________________________________________ ____________________________________________________________ 4. Développez nwtraders. Ouvrez la console Domaines et approbations Active Directory. 2.nwtraders. mais pas pour le site Premier-Site-par-defaut. affichez les autorisations correspondant au groupe Admins du domaine.msft. ____________________________________________________________ ____________________________________________________________ ! Analyser la structure par défaut d'Active Directory à l'aide de Domaines et approbations Active Directory 1. Écrire.msft. Remarquez ce qui se produit. puis visualisez les propriétés pour nwtraders. ____________________________________________________________ 3.msft. Quelles sont les autorisations ? Le groupe Admins du domaine possède les autorisations Lire. Module 1 : Introduction à l'infrastructure Active Directory 31 3.

vous serez à même d'effectuer les tâches suivantes : ! faire la distinction entre la conception. Objectifs de la leçon À la fin de cette leçon.32 Module 1 : Introduction à l'infrastructure Active Directory Leçon : Processus de conception. de planification et d'implémentation d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Cette leçon fournit une vue d'ensemble des processus de conception. . ! décrire les phases du processus de conception d'Active Directory . de planification et d'implémentation d'Active Directory. ! décrire les phases du processus d'implémentation d'Active Directory. la planification et l'implémentation d'Active Directory . ! décrire les phases du processus de planification d'Active Directory .

autrement dit. La conception détaillée d'Active Directory dépasse le cadre de ce cours. la conception d'Active Directory peut spécifier le nombre de contrôleurs de domaine pour chaque domaine sur la base de la configuration d'un serveur spécifique. Conception d'Active Un ou plusieurs architectes de systèmes créent la conception d'Active Directory Directory. et déploient les serveurs . fiabilité et sécurité du réseau. Implémentation Durant le déploiement d'Active Directory. de son architecture. ! créent les objets Stratégie de groupe (GPO. les ingénieurs système : d'Active Directory ! créent la structure du domaine et de la forêt. ! créent les stratégies de distribution de logiciels. Après avoir implémenté Active Directory. vous devez gérer et assurer la maintenance d'Active Directory afin de garantir disponibilité. Cette conception vous permet ensuite de planifier Active Directory avant son implémentation. si cette configuration n'est pas disponible. lors de la phase de planification vous pouvez décider de modifier le nombre de serveurs afin de répondre aux besoins de l'entreprise. ! créent la structure de l'unité d'organisation . Group Policy Object) qu'ils appliquent aux domaines. en se basant sur les besoins d'une entreprise. ! créent les comptes d'utilisateur et d'ordinateur . Ce cours décrit les phases de planification et d'implémentation.Cependant. aux sites et aux unités d'organisation . ! créent les groupes de sécurité et de distribution . de la planification et de l'implémentation d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction L'implémentation d'Active Directory commence par la création de sa conception.Par exemple. Module 1 : Introduction à l'infrastructure Active Directory 33 Vue d'ensemble de la conception. . Ces besoins déterminent les spécifications fonctionnelles pour la conception. Plan d'implémentation Le plan d'implémentation d'Active Directory détermine la mise en œuvre de d'Active Directory la conception d'Active Directory en fonction de l'infrastructure matérielle de l'organisation.

! Analyse des options de conception. plusieurs options de conception peuvent y répondre. restez flexible dans votre approche de la conception durant tout le processus. un besoin administratif peut être résolu par le biais d'une conception de domaine ou d'une structure d'unité d'organisation. Cette première tâche définit les d'Active Directory besoins en service d'annuaire et les besoins de l'entreprise concernant le projet. Comme chaque choix que vous faites affecte les autres composants de la conception. Chacune définit les besoins fonctionnels pour un composant de l'implémentation d'Active Directory. Tâches incluses Le processus de conception d'Active Directory inclut les tâches suivantes : dans le processus de conception ! Collecte d'informations sur l'organisation. . Vous devez analyser les informations collectées pour évaluer leur pertinence et leur valeur par rapport au processus de conception.34 Module 1 : Introduction à l'infrastructure Active Directory Processus de conception d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Une conception d'Active Directory inclut plusieurs tâches. Vous devez ensuite déterminer quelles sont les informations les plus importantes et quels composants de la conception d'Active Directory ces informations affecteront. Lorsque vous analysez des besoins d'entreprise spécifiques. Soyez prêt à appliquer ces informations dans l'ensemble du processus de conception. et les plans liés aux modifications à apporter dans l'organisation. Les informations sur l'organisation incluent notamment un profil organisationnel de haut niveau. l'infrastructure technique et du réseau. les implantations géographiques de l'organisation. Par exemple. ! Analyse des informations sur l'organisation.

Elle spécifie le nombre et l'emplacement des sites dans l'organisation. Résultat du processus Le résultat de la phase de conception d'Active Directory inclut les éléments de conception d'Active ci dessous. incluez la stratégie utilisée pour appliquer la stratégie de groupe à la structure de l'unité d'organisation. et à qui cette même autorité sera déléguée. les liens requis pour relier les sites et le coût de ces liens. Fully Qualified Domain Name) pour le domaine racine de chaque forêt. Développez plusieurs conceptions d'Active Directory. Il se peut qu'aucune des conceptions soumises ne fasse l'unanimité. Elle indique comment vous créerez les unités d'organisation pour chaque domaine dans la forêt. vous pouvez évaluer si des approbations de forêts sont requises pour répartir les ressources du réseau parmi les forêts. ! La conception du site. La conception inclut également la stratégie de contrôle des modifications de la forêt. La première version de votre plan de conception est susceptible d'être modifiée avant la phase pilote de l'implémentation. Pour finir. La conception du domaine inclut également le nom DNS pour chaque domaine et les relations d'approbation entre domaines. les consignes de création des approbations et le nom de domaine pleinement qualifié (FQDN. Si votre plan de conception comporte plusieurs forêts. La conception du domaine indique le nombre de domaines requis dans chaque forêt. Directory ! La conception du domaine et de la forêt. Module 1 : Introduction à l'infrastructure Active Directory 35 ! Sélection d'une conception. qui identifie les processus de propriété et d'approbation pour les modifications de la configuration présentant un impact sur toute la forêt. ! La conception de l'unité d'organisation. Identifiez la personne chargée de déterminer la stratégie de contrôle des modifications de chaque forêt dans l'organisation. Incluez une description de l'autorité d'administration qui sera appliquée à chaque unité d'organisation. La conception de la forêt inclut des informations comme le nombre de forêts requis. analysez les besoins d'entreprise qui entrent en conflit et tenez compte de leurs effets sur les choix de vos conceptions. ! Affinage de la conception. Lorsque vous sélectionnez une conception. . Choisissez la conception qui répond le mieux à vos besoins d'entreprise et qui représente globalement le meilleur choix. Le processus de conception est itératif parce que vous devez tenir compte de nombreuses variables lorsque vous concevez une infrastructure Active Directory. le domaine qui sera le domaine racine pour chaque forêt et la hiérarchie des domaines si la conception comporte plusieurs domaines. Révisez et affinez plusieurs fois chacun des concepts de votre conception pour prendre en compte tous les besoins d'entreprise. puis comparez leurs points forts et leurs points faibles.

Le plan fournit également des consignes portant sur la délégation d'autorité. les liens qui les relient. Ce plan se compose lui-même de plusieurs plans qui définissent les besoins fonctionnels pour un composant spécifique de l'implémentation d'Active Directory. des ressources humaines et de production. relie et gère les objets de stratégie de groupe. ! Stratégie d'audit.36 Module 1 : Introduction à l'infrastructure Active Directory Processus de planification d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Le résultat du processus de planification est le plan d'implémentation d'Active Directory. Par exemple. et comment cette stratégie sera implémentée. Il définit quelles unités d'organisation créer et comment. Il spécifie les sites. la stratégie en matière de mots de passe et les consignes portant sur la sécurité des objets. ! Plan de stratégie de groupe. . ! Plan d'implémentation d'unité d'organisation. le plan d'implémentation des unités d'organisation définit les unités à implémenter. Il détermine qui crée. Elle inclut des informations comme les consignes d'attribution de nom aux comptes et la stratégie de verrouillage. ! Plan d'implémentation du site. si la conception d'unité d'organisation spécifie que ces unités seront créées géographiquement et organisées par division à l'intérieur de chaque zone géographique. Elle détermine comment suivre les modifications apportées aux objets Active Directory. telles que celles des ventes. et les liaisons de sites planifiées. Il spécifie également la planification et l'intervalle de réplication ainsi que les consignes en matière de sécurisation et de configuration de la réplication entre sites. Composant d'un plan Un plan Active Directory inclut les composants suivants : Active Directory ! Stratégie de compte.

des serveurs DNS intégrés à Active Directory et des maîtres d'opérations. ! Plan de placement des serveurs. Module 1 : Introduction à l'infrastructure Active Directory 37 ! Plan de déploiement de logiciels. des serveurs de catalogue global. Il spécifie comment vous utiliserez la stratégie de groupe pour déployer de nouveaux logiciels et des mises à niveau de logiciels. Il spécifie le placement des contrôleurs de domaine. . Il peut. Lorsque tous les plans de composant sont terminés. spécifier si les mises à niveau de logiciels sont obligatoires ou facultatives. Il spécifie également si vous activerez la mise en cache des appartenances à un groupe universel pour les sites ne possédant pas de serveur de catalogue global. par exemple. vous devez les combiner pour former le plan complet d'implémentation d'Active Directory.

d'implémentation ! Implémentation de la forêt.38 Module 1 : Introduction à l'infrastructure Active Directory Processus d'implémentation d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Une fois le plan d'implémentation d'Active Directory en place. définissez les liaisons de sites planifiées et déployez sur les sites des contrôleurs de domaine. ! Création des objets Stratégie de groupe. Créez la structure d'unité d'organisation pour chaque domaine dans chaque forêt. ! Implémentation des sites. du domaine et de la structure DNS. Importez les comptes d'utilisateur dans Active Directory. créez des groupes de sécurité et déléguez l'autorité administrative à des groupes administratifs dans chaque unité d'organisation. les arborescences de domaines et tout autre domaine enfant constituant la forêt et la hiérarchie des domaines. ! Création des unités d'organisation et des groupes de sécurité. Créez des sites en fonction du plan des sites. Créez le domaine racine de la forêt. vous pouvez commencer à implémenter Active Directory conformément à votre plan de conception. puis reliez-les à des sites. à des domaines ou à des unités d'organisation. Processus Vous devez exécuter les tâches ci-dessous pour implémenter Active Directory. des serveurs de catalogue global. des serveurs DNS et des maîtres d'opérations. ! Création des comptes d'utilisateur et d'ordinateur. créez des liens reliant ces sites. Créez des objets Stratégie de groupe basés sur la stratégie de groupe. .

Module 2 : Implémentation d'une structure de forêt et de domaine Active Table des matières Directory Vue d'ensemble 1 Leçon : Création d'une structure de forêt et de domaine 2 Leçon : Analyse du système DNS intégré à Active Directory 23 Leçon : Augmentation des niveaux fonctionnels de la forêt et du domaine 38 Leçon : Création de relations d'approbation 44 Atelier A : Implémentation d'Active Directory 57 .

la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets. stockée ou introduite dans un système d'extraction. Windows. les logos. mécanique.Les informations contenues dans ce document. aucune partie de ce manuel ne peut être reproduite. les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés. ou transmise à quelque fin ou par quelque moyen que ce soit (électronique. les adresses de messagerie. Microsoft. Sauf mention contraire. produits. personnes. de marques. soit des marques déposées de Microsoft Corporation. aux États-Unis d'Amérique et/ou dans d'autres pays. lieux et événements existants ou ayant existé serait purement fortuite. noms de domaines. les sociétés. Les autres noms de produit et de société mentionnés dans ce document sont des marques de leurs propriétaires respectifs. de dépôts de brevets en cours. Sans limitation des droits d'auteur. les produits. photocopie. notamment les adresses URL et les références à des sites Web Internet. sans la permission expresse et écrite de Microsoft Corporation. de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. PowerPoint. logos. MSDN. les personnes. Active Directory. Windows NT. MS-DOS. Active X. Visio. adresses de messagerie. les noms de domaines. Visual C++ et Windows Media sont soit des marques de Microsoft Corporation. pourront faire l'objet de modifications sans préavis. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son pays. . Les produits mentionnés dans ce document peuvent faire l'objet de brevets. enregistrement ou autre). Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft. Tous droits réservés. Visual Basic. droits d'auteur ou autres droits de propriété intellectuelle.  2003 Microsoft Corporation. marques.

Si vous utilisez la Visionneuse PowerPoint ou une version antérieure de PowerPoint. Il explique également la manière d'analyser 60 minutes le système DNS (Domain Name System) dans un environnement Active Directory. ! augmenter le niveau fonctionnel d'une forêt et d'un domaine . ! réaliser l'atelier .swf Important Il est recommandé d'utiliser PowerPoint 2002 ou une version ultérieure pour afficher les diapositives de ce cours. ! étudier les applications pratiques et les questions d'évaluation ainsi que les suggestions de réponses fournies . anticiper les questions que les stagiaires sont susceptibles de poser et préparer des réponses appropriées pour chacune de ces questions . vous devez disposer des éléments suivants : ! fichier Microsoft® PowerPoint® 2194A_02. les stagiaires seront à même d'effectuer les tâches suivantes : ! créer une structure de forêt et de domaine .ppt ! fichier Macromedia Flash 2194A_2279a_02_a_dns. . Objectifs À la fin de ce module. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory iii Notes de l'instructeur Présentation : Ce module décrit la configuration requise du service d'annuaire Active 120 minutes Directory®. ! lire le kit de déploiement Windows Server 2003 Deployment Kit (en anglais) et le kit de ressources techniques Windows Server 2003 pour vous familiariser avec les procédures d'installation d'Active Directory et les méthodes conseillées. il se peut que toutes les fonctionnalités des diapositives ne s'affichent pas correctement. d'augmenter les niveaux fonctionnels de la forêt et du domaine et de créer des relations d'approbation. Documents de cours Pour animer ce module. ! créer des relations d'approbation entre des domaines et des forêts. anticiper autant que possible les réponses que les stagiaires sont susceptibles de donner et préparer des réponses appropriées en conséquence . explique comment créer une structure de forêt et de domaine grâce à l'Assistant Installation de Active Directory et présente les tâches que vous Atelier : devez effectuer après l'installation. Préparation Pour préparer ce module. vous devez effectuer les tâches suivantes : ! lire tous les documents de cours relatifs à ce module. ! analyser le système DNS intégré à Active Directory .

Vous pouvez aussi les utiliser en début de journée pour passer en revue les éléments abordés la veille. Avant d'animer la classe. Vous pouvez choisir de parcourir ensemble les questions et les réponses. Procédures. Les stagiaires n'effectuent pas les tâches en même temps que vous. Un module comprend au et ateliers minimum deux leçons. Applications pratiques Après avoir présenté le contenu d'une rubrique et les procédures de la leçon. passez en revue ces informations dans la page des annexes sur le CD-ROM du stagiaire. Important Ce module inclut des éléments requis pour chaque leçon.iv Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Comment animer ce module Cette section contient des informations qui ont pour but de vous aider à animer ce module. Remarque Certaines rubriques font référence à des informations complémentaires situées dans les annexes. Envisagez de les utiliser pour consolider leurs connaissances à la fin de la journée. ou demander aux stagiaires de préparer les réponses de leur côté. La plupart des leçons comprennent des procédures et une application pratique. Une fois que les stagiaires ont terminé les leçons. le module enchaîne sur un atelier. Durant la classe. Expliquez aux stagiaires de quelle manière les procédures. Ils se servent des étapes décrites pour effectuer l'application pratique à la fin de chaque leçon. . les applications applications pratiques pratiques et les ateliers ont été conçus pour ce cours. Laissez 10 minutes aux stagiaires pour préparer leurs réponses aux questions d'évaluation. expliquez qu'une application pratique est une occasion pour les stagiaires d'effectuer les tâches décrites dans la leçon. situés sur le CD-ROM du stagiaire. Procédures Les procédures vous permettent de montrer comment effectuer une tâche. Vous pouvez les présenter en introduction pour aider les stagiaires à identifier les difficultés ou en conclusion pour valider leurs connaissances. indiquez ces annexes aux stagiaires pour obtenir des informations complémentaires. Les stagiaires n'ont pas besoin de ces informations pour exécuter les tâches présentées dans ce module.

Dans la rubrique Conditions requises pour installer Active Directory. créer un groupe). Ils peuvent également se reporter aux applications pratiques et aux procédures du module. Si les stagiaires ont besoin d'instructions détaillées pour mener à bien l'atelier. En utilisant des scénarios correspondant à l'environnement professionnel du stagiaire. Assurez-vous que les stagiaires ont bien compris que les contrôleurs de domaine répliqués sont indispensables dans un domaine pour assurer une tolérance de pannes avant de présenter la rubrique Comment ajouter un contrôleur de domaine répliqué. ils disposent d'un corrigé de chacun des ateliers sur le CD-ROM du stagiaire. L'intégration du système DNS à Active Directory est expliquée dans la leçon Analyse du système DNS intégré à Active Directory. . l'atelier propose des instructions présentées sous forme de deux colonnes. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory v Ateliers À la fin de chaque module. Leçon : Création d'une structure de forêt et de domaine Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon. Les stagiaires ont simplement besoin de comprendre que seuls les serveurs DNS répondant à certaines conditions sont intégrés à Active Directory. double-cliquez sur le nœud du domaine). n'expliquez pas la configuration DNS requise en détail. Lorsque vous expliquez la procédure à effectuer pour créer la structure de forêt et de domaine Active Directory. l'atelier permet aux stagiaires de mettre en pratique toutes les tâches abordées dans l'ensemble du module. Cette leçon apporte aux stagiaires les compétences et connaissances nécessaires pour créer des structures de forêt et de domaine. et comment identifier et résoudre certains problèmes courants qui peuvent survenir lors d'une l'installation d'Active Directory. faites le point sur les modifications apportées suite à chaque étape. Utilisez cette rubrique conjointement avec la rubrique suivante Comment créer une structure de forêt et de domaine. telles qu'elles sont répertoriées dans la rubrique Processus d'installation d'Active Directory. Elle explique comment s'assurer qu'Active Directory a été installé correctement. La colonne de droite contient des instructions spécifiques pour effectuer la tâche (par exemple : à partir du composant Utilisateurs et ordinateurs Active Directory. La colonne de gauche indique la tâche à effectuer (par exemple. Utilisez la rubrique Processus d'installation d'Active Directory pour expliquer les modifications apportées à un serveur sur lequel est installé Microsoft Windows Server™ 2003 lorsqu'il est converti en contrôleur de domaine.

vous devez préalablement prendre ou transférer le rôle vers un autre contrôleur de domaine avant de supprimer ce dernier. tandis que d'autres dépendent du type de contrôleur de domaine supprimé. Application pratique A la fin de la leçon. mais n'effectuez pas la tâche. Remarque Montrez la procédure permettant de renommer un contrôleur de domaine. assurez-vous de redonner à l'ordinateur son nom d'origine. Soulignez que le processus d'installation d'Active Directory modifie également la base de données DNS. où x est le dernier numéro de l'adresse IP de l'ordinateur du stagiaire.msft. Si vous décidez toutefois d'effectuer cette tâche.vi Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Windows Server 2003 propose une nouvelle fonctionnalité permettant de renommer un contrôleur de domaine. L'objectif de la rubrique Comment vérifier l'installation d'Active Directory est de présenter aux stagiaires la procédure permettant d'analyser les modifications apportées à un serveur Windows Server 2003 après avoir installé Active Directory. assurez-vous que les stagiaires ont bien compris que lorsque vous renommez un contrôleur de domaine et que vous modifiez son suffixe DNS principal. par exemple). commencez la leçon suivante pendant l'installation d'Active Directory. Lors de la présentation de la rubrique Comment supprimer un contrôleur de domaine d'Active Directory. Lors de la présentation de la rubrique Comment renommer un contrôleur de domaine. Attribuez un nom de domaine enfant corpx à chaque stagiaire. commentez les opérations effectuées par l'Assistant Installation de Active Directory lors de la suppression d'Active Directory. Important Ne supprimez pas Active Directory du contrôleur de domaine London. demandez aux stagiaires de créer un domaine enfant à l'intérieur du domaine nwtraders. vous n'avez pas déplacé le contrôleur de domaine vers un nouveau domaine Active Directory. Lorsque les stagiaires ont renseigné la dernière page de l'Assistant Installation de Active Directory. Présentez les problèmes courants se produisant lors de l'installation d'Active Directory et proposez des stratégies permettant de les résoudre. Présentez les options de dépannage permettant de résoudre les problèmes susceptibles de survenir lors de l'installation d'Active Directory grâce à la rubrique Comment résoudre les problèmes liés à l'installation d'Active Directory. . Indiquez aux stagiaires que certaines opérations sont communes à tous les contrôleurs de domaine. et que ces modifications sont décrites dans la leçon Analyse du système DNS intégré à Active Directory de ce module. Insistez sur le fait que lorsque l'on supprime un contrôleur de domaine qui exécute un rôle spécialisé (un serveur de catalogue global ou un maître d'opérations.

Ces rubriques apportent les connaissances fondamentales pour que les stagiaires comprennent comment les ordinateurs clients utilisent le système DNS pour trouver les contrôleurs et services de domaine. Expliquez les relations entre l'espace de noms DNS et l'espace de noms Active Directory. Après avoir visualisé la présentation multimédia. Soulignez la manière dont vous pouvez utiliser le système DNS pour trouver les ordinateurs qui exécutent des rôles particuliers dans un domaine Active Directory en intégrant les espaces de noms DNS et Active Directory. le fait de les réviser aidera les stagiaires à comprendre les avantages de l'utilisation d'un système DNS intégré à Active Directory. Présentez les fonctions principales que fournit le système DNS dans un réseau qui utilise Active Directory. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory vii Leçon : Analyse du système DNS intégré à Active Directory Cette leçon décrit le format des enregistrements de ressources SRV (Service Resource Record). Application pratique A la fin de la leçon. par exemple). Elle explique également utiliser les enregistrements SRV pour trouver les fournisseurs de ressources. Les rubriques Définition des enregistrements de ressources SRV et Enregistrements SRV enregistrés par les contrôleurs de domaine permettent de s'assurer que les stagiaires sont capables d'identifier les services fournis par un contrôleur de domaine à partir des enregistrements SRV enregistrés dans Active Directory. Avant de présenter la rubrique Définition des zones intégrées à Active Directory. . Dans la rubrique Espaces de noms DNS et Active Directory. passez brièvement en revue les zones DNS et le modèle de maître unique que fournit le système DNS. Ces informations sont présentées dans l'animation intitulée « Comment les ordinateurs clients utilisent le système DNS pour localiser des contrôleurs et services de domaine ». résumez les points clés. Bien que ces connaissances soient une condition préalable pour suivre ce cours. ils sont en mesure de résoudre les problèmes liés au DNS (problèmes d'ouverture de session du client. demandez aux stagiaires d'analyser les enregistrements SRV enregistrés dans leur contrôleur de domaine. Expliquez que le nom d'hôte DNS d'un ordinateur est identique à celui du compte d'ordinateur stocké dans Active Directory. Demandez aux stagiaires de se reporter aux annexes pour obtenir des informations relatives au recouvrement de site et à la configuration des valeurs de priorité et de poids dans les enregistrements SRV. Demandez aux stagiaires de se reporter aux annexes pour obtenir des informations relatives à la réplication DNS et aux options de réplication de zone dont ils disposent. décrivez comment le système DNS est intégré à Active Directory. Lorsque les stagiaires ont bien compris comment le système DNS est intégré à Active Directory. qui sont les enregistrements DNS que les contrôleurs de domaine enregistrent.

expliquez en premier lieu la transitivité de l'approbation. Les fonctionnalités répertoriées dans le manuel de travail sont expliquées ultérieurement dans ce module ou dans des modules suivants. Pendant qu'ils effectuent cette application pratique. Application pratique A la fin de la leçon. Dans la rubrique Types d'approbations. décrivez certaines fonctionnalités qui sont activées à chaque niveau fonctionnel des forêts et des domaines. leur fonctionnement et la méthode de création.msft au niveau de Windows Server 2003. demandez aux stagiaires d'augmenter le niveau fonctionnel du domaine au niveau de Windows Server 2003. assurez-vous que les stagiaires ont bien compris qu'ils doivent augmenter le niveau fonctionnel de chaque domaine avant d'augmenter celui de la forêt. Une liste exhaustive de ces fonctionnalités est disponible dans Aide et Support de Windows Server 2003. ce cours ne porte pas sur la migration à partir de Microsoft Windows® NT 4. ainsi que la manière d'augmenter la fonctionnalité d'une forêt et d'un domaine. En effet. externes et de domaine [realm]). Expliquez enfin les différents types d'approbations (raccourcies.msft et corp. Dans la rubrique Définition des fonctionnalités des forêts et des domaines. de forêt. Leçon : Création de relations d'approbation Cette leçon présente les types d'approbations. Important Assurez-vous que les stagiaires ont bien compris que le niveau fonctionnel d'un domaine ou d'une forêt ne peut plus être diminué après avoir été augmenté. Ne passez pas trop de temps à expliquer le niveau fonctionnel de Windows Server 2003 version préliminaire. de vérification et d'annulation des relations d'approbation. entrantes et bidirectionnelles. .viii Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Leçon : Augmentation des niveaux fonctionnels de la forêt et du domaine Cette leçon présente les fonctionnalités activées selon la fonctionnalité de la forêt et du domaine. Dans la rubrique Conditions requises pour activer les nouvelles fonctionnalités de Windows Server 2003. Expliquez ensuite les approbations sortantes. Les fonctionnalités répertoriées dans les notes du stagiaire sont incomplètes. augmentez les niveaux fonctionnels de nwtraders.0.nwtraders.

expliquez qu'il peut être nécessaire de rechercher la ressource dans toute la hiérarchie. en fonction de son emplacement dans la hiérarchie de la forêt. Ils vont préparer leurs contrôleurs de domaine pour l'installation en supprimant d'Active Directory un domaine enfant préalablement installé. demandez aux stagiaires de créer une approbation raccourcie entre leur domaine et un autre domaine dans leur forêt nwtraders. Application pratique A la fin de la leçon. Atelier A : Implémentation d'Active Directory L'atelier de ce module va permettre aux stagiaires d'installer Active Directory et de créer une structure de forêt et de domaine. Les stagiaires travailleront par deux. ils créeront une approbation de forêt. Les approbations raccourcies aident à surmonter ce problème. Security IDentifier). L'un installera le domaine racine de la forêt tandis que l'autre installera un domaine enfant.msft. La rubrique Comment fonctionnent les approbations entre les forêts comporte une diapositive animée. . Indiquez aux stagiaires les annexes à consulter pour plus d'informations sur le filtrage des identificateurs de sécurité (SID. assurez- vous que les stagiaires comprennent bien l'utilité des approbations raccourcies pour réduire le temps nécessaire à la recherche des ressources. Puis. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory ix Si une forêt n'utilise que les approbations transitives entre les domaines parents et enfants. Insistez sur le rôle du protocole d'authentification Kerberos version 5 dans l'authentification de l'utilisateur. soulignez qu'une forêt est une limite de sécurité dans Windows Server 2003. Cette application pratique nécessite de créer des groupes d'au moins deux stagiaires chacun. Lorsque vous expliquerez le fonctionnement des approbations dans une forêt. Les stagiaires vont ensuite augmenter les niveaux fonctionnels de la forêt et du domaine pour préparer la création d'une approbation de forêt. Lorsque vous expliquez le fonctionnement des approbations au sein d'une forêt.

msft Perth Nwtraders2. La vérification de la topologie de la réplication va lancer le KCC.msft Caracas Nwtraders10.msft Suva Corp8.msft Montevideo Corp10.msft.msft Denver Corp1. Nom de l'ordinateur Domaine racine de la forêt Domaine enfant Vancouver Nwtraders1.msft Casablanca Nwtraders6.msft Lisbon Nwtraders3.Nwtraders8.msft Tunis Corp6.x Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory La configuration de la classe requiert que vous utilisiez le tableau suivant pour attribuer des noms de domaine aux stagiaires.msft Nairobi Corp12.Nwtraders5. .msft Important Si la réplication ne se produit pas entre un domaine racine de la forêt et un domaine enfant.msft Bonn Corp3. utilisez Sites et services Active Directory pour vérifier la topologie de la réplication.msft Bangalore Nwtraders5.Nwtraders6. résout les problèmes liés à la réplication.msft Lima Nwtraders4. Nwtraders11. d'une manière générale.Nwtraders3.msft Tokyo Corp11. qui.msft Santiago Corp4.msft Moscow Corp9.Nwtraders2.msft Khartoum Nwtraders12.Nwtraders9.msft Miami Corp7.Nwtraders7.msft Singapore Corp5. Nwtraders12.msft Brisbane Corp2.Nwtraders1.msft Stockholm Nwtraders9.msft Auckland Nwtraders8.Nwtraders4.Ntraders10. Manila Nwtraders11.msft Acapulco Nwtraders7.

Résultats de l'atelier L'exécution de l'atelier de ce module induit les changements de configuration ci-dessous. Ces informations sont données pour vous aider à dupliquer ou à personnaliser les cours MOC (Microsoft Official Curriculum). les stagiaires ne peuvent pas résoudre les noms hors de leur forêt. nwtraders. . ! Chaque domaine et forêt sera élevé au niveau fonctionnel de Windows Server 2003. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory xi Informations sur la personnalisation Cette section identifie la configuration requise pour l'atelier de ce module et les changements de configuration qui se produisent sur les ordinateurs des stagiaires lors de cet atelier. Dans cet atelier. Configuration de l'atelier Les conditions de configuration ci-après s'appliquent à l'atelier de ce module. les stagiaires vont créer un contrôleur du domaine racine de la forêt pour un nouveau domaine répertorié dans le tableau ci-dessus.msft. Ils vont installer le système DNS sur ce contrôleur lors de ce processus. Si cette étape est omise. Configuration requise 1 Pour l'atelier de ce module. ! Chaque paire d'ordinateurs stagiaire existera dans une forêt distincte. assurez-vous que les ordinateurs des stagiaires qui sont les contrôleurs du domaine racine de la forêt pointent vers eux-mêmes pour la résolution de noms DNS. ! Chaque forêt du stagiaire disposera d'une approbation de forêt bidirectionnelle avec la forêt de la classe. l'instructeur doit créer une délégation de domaine DNS conformément aux instructions du Guide de configuration manuelle de la classe pour configurer le service DNS sur l'ordinateur London. Si ce n'est pas le cas. Le cas échéant. les stagiaires risquent d'avoir des problèmes pour réaliser la réplication.

.

. augmenter les niveaux fonctionnels de la forêt et du domaine et créer des relations d'approbation. ! analyser le système DNS intégré à Active Directory . vous serez à même d'effectuer les tâches suivantes : ! créer une structure de forêt et de domaine . Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 1 Vue d'ensemble ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Ce module présente la configuration requise du service d'annuaire Active Directory® et explique comment créer une structure de forêt et de domaine à l'aide de l'Assistant Installation de Active Directory. ! augmenter le niveau fonctionnel d'une forêt et d'un domaine . ! créer des relations d'approbation entre des domaines. Objectifs À la fin de ce module. Il fournit également les connaissances et compétences nécessaires pour analyser le système DNS (Domain Name System) dans un environnement Active Directory.

Objectifs de la leçon À la fin de cette leçon. ! supprimer un contrôleur de domaine d'Active Directory . ! vérifier une installation d'Active Directory . à identifier et à résoudre les problèmes courants qui peuvent survenir lors de l'installation d'Active Directory. ! renommer un contrôleur de domaine . vous serez à même d'effectuer les tâches suivantes : ! identifier les conditions requises pour installer Active Directory . ! résoudre les problèmes liés à l'installation d'Active Directory . ! décrire le processus d'installation d'Active Directory . ! créer une structure de forêt et de domaine . ! ajouter un contrôleur de domaine répliqué à un domaine . Vous allez apprendre à vérifier qu'Active Directory a été installé correctement.2 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Leçon : Création d'une structure de forêt et de domaine ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Cette leçon fournit les compétences et connaissances nécessaires pour créer une structure de forêt et de domaine. .

un espace disque supplémentaire est nécessaire si le contrôleur de domaine est également un serveur de catalogue global. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 3 Conditions requises pour installer Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Avant d'installer Active Directory. Web Edition. Configuration requise La liste ci-dessous identifie la configuration requise pour une installation pour les contrôleurs de d'Active Directory. ! Une partition ou un volume formaté avec le système de fichiers NTFS. De plus. d'un domaine dans un réseau Windows Server 2003 existant. . ! 250 mégaoctets (Mo) d'espace disque disponible au minimum — 200 Mo pour la base de données Active Directory et 50 Mo pour les fichiers journaux des transactions de la base de données Active Directory. Windows Server 2003. domaine ! Un ordinateur équipé de Microsoft® Windows Server™ 2003 Standard Edition. le contrôleur de domaine doit être en mesure d'accéder à un serveur DNS satisfaisant certaines conditions de configuration pour prendre en charge l'intégration à Active Directory. Enterprise Edition ou Datacenter Edition. vous devez vous assurer que l'ordinateur devant être configuré comme contrôleur de domaine satisfait certaines conditions de configuration relatives au matériel et au système d'exploitation. La partition NTFS est nécessaire pour le dossier SYSVOL. ne prend pas en charge Active Directory. le cas échéant. La taille des fichiers journaux et des fichiers de la base de données Active Directory dépend du nombre d'objets dans le domaine et de leur type . ! Les privilèges administratifs nécessaires pour la création.

les modifications apportées à une zone d'un incrémentiels (facultatif) serveur DNS maître doivent être répliquées sur les serveurs DNS secondaires pour cette zone. vous devez entrer les enregistrements de ressources SRV manuellement dans la base de données DNS. Ils sont toutefois recommandés car ils permettent d'économiser de la bande passante réseau en permettant uniquement aux enregistrements de ressources nouveaux ou modifiés d'être répliqués entre des serveurs DNS. Transferts de zone Dans un transfert de zone incrémentiel. Mises à jour dynamiques Microsoft recommande vivement de faire en sorte que les serveurs DNS prennent (facultatives) en charge les mises à jour dynamiques. Si vous utilisez un logiciel DNS qui prend en charge des enregistrements de ressources SRV mais pas le protocole de mise à jour dynamique. Remarque Pour plus d'informations sur les enregistrements de ressources SRV. ! Un serveur DNS qui fait autorité pour le domaine DNS et prend en charge les conditions requises répertoriées dans le tableau ci-dessous. Le serveur DNS qui prend en charge le déploiement d'Active Directory doit également prendre en charge les enregistrements de ressources SRV. reportez-vous à la section « Windows 2000 DNS » de la rubrique « Documentation supplémentaire » sur le CD-ROM du stagiaire. Si ce n'est pas le cas. ce qui permet de réduire les tâches administratives. vous devez configurer le système DNS localement lors du processus d'installation d'Active Directory ou le configurer manuellement après l'installation d'Active Directory. . Condition requise Description Enregistrements de ressources Les enregistrements de ressources SRV sont des enregistrements DNS qui SRV (obligatoires) identifient les ordinateurs qui hébergent des services spécifiques dans un réseau Windows Server 2003. Le protocole de mise à jour dynamique permet aux serveurs et aux clients évoluant dans un environnement DNS d'ajouter et de modifier automatiquement des enregistrements dans la base de données DNS. Les transferts de zone incrémentiels sont facultatifs.4 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory ! Protocole TCP/IP installé et configuré pour utiliser le système DNS. au lieu de répliquer le fichier de base de données de zone entier. sur les mises à jour dynamiques et les transferts de zone incrémentiels.

! Création de partitions Active Directory. . Remarque Pour plus d'informations sur les partitions d'annuaire. un certain nombre de modifications sont apportées au serveur Windows Server 2003 sur lequel est installé Active Directory. Planification. des objets d'annuaire de l'arborescence de répertoire. lancez l'Assistant Installation de Active Directory. Le paramètre indique que ce serveur est un contrôleur de domaine. Local Security Authority). Processus d'installation Le processus d'installation exécute les tâches suivantes : ! Démarrage du protocole d'authentification Kerberos version 5 ! Définition de la stratégie de l'autorité de sécurité locale (LSA. ou une sous-arborescence. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 5 Processus d'installation d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Pour démarrer le processus d'installation d'Active Directory. Lors de l'installation. Une partition de répertoire est une partie de l'espace de noms du répertoire. Chaque partition du répertoire contient une hiérarchie. les partitions ci-dessous sont créées sur le premier contrôleur de domaine d'une forêt : • partition d'annuaire de schéma • partition d'annuaire de configuration • partition d'annuaire de domaine • zone DNS de la forêt • partition de la zone DNS du domaine Les partitions sont alors mises à jour par l'intermédiaire de la réplication sur chaque contrôleur de domaine subséquent créé dans la forêt. implémentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003. reportez- vous au module 7. La connaissance de ces modifications va vous permettre de résoudre les problèmes susceptibles de survenir après l'installation. Lors de l'installation. « Implémentation de sites pour gérer la réplication Active Directory ». du cours 2194.

• le dossier partagé Net Logon. le serveur est placé sur le site Premier-Site-par-Défaut (premier site configuré automatiquement lorsque vous créez le premier contrôleur de domaine dans une forêt). L'emplacement par défaut de la base de données et des fichiers journaux est systemroot\Ntds. placez la base de données et les fichiers journaux sur des disques durs distincts. les opérations de lecture et d'écriture réalisées dans la base de données et dans les fichiers journaux n'entrent pas en concurrence pour les ressources en entrée et en sortie. Relative IDentifier) • le maître de nommage de domaine • le contrôleur de schéma • le maître d'infrastructure Remarque Vous pouvez attribuer les rôles de maître d'opérations à un autre contrôleur de domaine lorsque vous ajoutez des contrôleurs de domaine répliqués au domaine. Si le serveur est le premier contrôleur de domaine du réseau. ! Création du domaine racine de la forêt. qui contient les scripts de connexion des ordinateurs qui ne sont pas équipés de Windows Server 2003. puis attribue les rôles de maître d'opérations au contrôleur de domaine. Cette structure de dossiers est hébergée sur tous les contrôleurs de domaine Windows Server 2003 et contient les dossiers suivants : • le dossier partagé SYSVOL. l'Assistant configure l'appartenance du contrôleur de domaine dans le site associé au sous-réseau. notamment : • l'émulateur de contrôleur principal de domaine (PDC. ! Configuration de l'appartenance du contrôleur de domaine sur un site approprié. De cette manière. Si aucun objet de sous-réseau n'est défini ou si l'adresse IP du serveur ne se trouve pas dans la plage des objets de sous-réseau présents dans Active Directory. Si l'adresse IP du serveur que vous souhaitez promouvoir contrôleur de domaine se trouve dans la plage d'adresses d'un sous-réseau donné défini dans Active Directory. Primary Domain Controller) • le maître d'opérations des identificateurs relatifs (RID. qui contient des informations relatives à la stratégie de groupe . . le processus d'installation crée le domaine racine de la forêt. Remarque Pour améliorer les performances.6 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory ! Création de la base de données Active Directory et des fichiers journaux. ! Création du dossier volume système partagé.

Remarque Si un objet serveur pour ce domaine existe déjà dans le conteneur Servers du site dans lequel vous ajoutez le contrôleur de domaine. Cet objet serveur contient une référence à l'objet ordinateur de l'unité d'organisation Domain Controllers qui représente le contrôleur de domaine en cours de création. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 7 L'Assistant Installation de Active Directory crée un objet serveur pour le contrôleur de domaine dans le site approprié. . ! Application du mot de passe fournit par l'utilisateur au compte administrateur. puis le crée à nouveau car il suppose que vous réinstallez Active Directory. L'objet serveur contient les informations nécessaires pour la réplication. ! Activation de la sécurité sur le service d'annuaire et sur les dossiers de réplication de fichier. Vous utilisez ce compte pour lancer le contrôleur de domaine en mode Restauration des services d'annuaire. l'Assistant le supprime. Ceci vous permet de contrôler l'accès des utilisateurs aux objets Active Directory.

cliquez sur Suivant. une installation ou une suppression d'Active Directory n'est pas en cours. utilisez l'Assistant pour créer une arborescence et des domaines enfants supplémentaires. • l'ordinateur est équipé d'un système d'exploitation prenant en charge Active Directory . L'Assistant vérifie les points suivants : • l'utilisateur actuellement connecté est un membre du groupe local Administrateurs . . Après avoir créé le domaine racine de la forêt. 2. Pour créer un domaine racine de la forêt. Dans la page Assistant Installation de Active Directory.8 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Comment créer une structure de forêt et de domaine ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Vous utilisez l'Assistant Installation de Active Directory pour créer une structure de forêt et de domaine. un message d'erreur s'affiche et vous quittez l'Assistant. • une installation précédente ou une suppression d'Active Directory n'a pas eu lieu sans un redémarrage de l'ordinateur . qui diffèrent en forêt fonction des options que vous sélectionnez. Cliquez sur Démarrer. sur Exécuter. Si l'un des ces quatre points ne se vérifie pas. Procédure de création L'Assistant Installation de Active Directory vous accompagne tout au long du du domaine racine de la processus d'installation et vous donne des informations. vous devez créer un domaine racine de la forêt. puis tapez dcpromo en tant que nom du programme. procédez comme suit : 1. Lorsque vous installez Active Directory dans un réseau pour la première fois.

puis cliquez sur Suivant. tapez le nom DNS complet du nouveau domaine. Cliquez ensuite sur Suivant. A l'invite. Les contrôleurs de domaine Windows Server 2003 gèrent une petite version de la base de données des comptes de Microsoft Windows NT 4. Windows Server 2003 implémente un niveau de sécurité plus élevé que celui de Windows® 2000. Le nom NetBIOS permet d'identifier le domaine sur les ordinateurs clients équipés de versions antérieures de Windows et Windows NT. Attention La page Compatibilité du système d'exploitation contient des informations relatives à la compatibilité des systèmes d'exploitation Windows antérieurs. vérifiez le nom NetBIOS. Il est requis pour l'authentification au démarrage de l'ordinateur en mode Restauration des services d'annuaire. étant donné qu'Active Directory n'est pas démarré dans ce mode. Dans la page Compatibilité du système d'exploitation. le cas échéant. cliquez sur Suivant. indiquez si vous souhaitez attribuer les autorisations par défaut à des objets utilisateur et groupe compatibles avec des serveurs équipés de versions antérieures de Windows ou Windows NT. cliquez sur Domaine dans une nouvelle forêt. puis cliquez sur Suivant. Le seul compte de cette base de données est le compte Administrateur. Dans la page Diagnostics des inscriptions DNS. 6. 7. indiquez l'emplacement dans lequel vous souhaitez installer les dossiers de la base de données et du journal. Dans la page Volume système partagé.0. . indiquez le mot de passe pour le mode Restauration des services d'annuaire. 12. Dans la page Dossiers de la base de données et du journal. ou seulement avec des serveurs équipés de Windows Server 2003. Sur la page Type de contrôleur de domaine. il vous invite à modifier le nom. puis cliquez sur Suivant. 8. Cliquez ensuite sur Suivant. cliquez sur Contrôleur de domaine pour un nouveau domaine. L'Assistant identifie que le nom de domaine NetBIOS est unique. 4. tapez l'emplacement dans lequel vous souhaitez installer le dossier SYSVOL. Dans la page Autorisations. 9. Dans la page Créer un nouveau domaine. ou cliquez sur Parcourir pour choisir un emplacement. 5. puis cliquez sur Suivant. puis sur Suivant. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 9 3. Si ce n'est pas le cas. cliquez sur Installer et configurer le serveur DNS sur cet ordinateur et définir cet ordinateur pour utiliser ce serveur DNS comme serveur DNS de préférence. Vous devez installer le client Active Directory sous Windows 95 et Microsoft Windows NT® (avec Service Pack 3) afin d'activer l'authentification par un contrôleur de domaine Windows Server 2003. assurez-vous qu'un serveur DNS existant va faire autorité pour cette forêt ou. Dans la page Nom de domaine NetBIOS. 11. 10. Dans la page Nouveau nom de domaine.

Si le maître de nommage de domaine est indisponible. Le compte d'utilisateur doit être un membre du groupe Administrateurs de l'entreprise. reportez-vous à « Ntdsutil : référence de la ligne de commande » dans Aide et Support de Windows Server 2003. redémarrez l'ordinateur. puis cliquez sur Suivant pour commencer l'installation. Procédure de création La procédure de création d'un domaine enfant à l'aide de l'Assistant Installation d'un domaine enfant de Active Directory est similaire à celle permettant de créer un domaine racine de la forêt. Informations d'identification réseau Tapez le nom d'utilisateur. Le tableau suivant répertorie les étapes que vous allez réaliser lors de l'installation. 13.10 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Remarque Pour obtenir de plus amples informations relatives à la manière de modifier le mot de passe du mode Restauration des services d'annuaire. Page de l'Assistant Installation de Active Directory Nouvelle étape à réaliser Créer un nouveau domaine Cliquez sur Domaine enfant dans une arborescence de domaine existante. 14. A l'invite. Page de l'Assistant Installation de Active Directory Nouvelle étape à réaliser Créer un nouveau domaine Cliquez sur Arborescence de domaine dans une forêt existante. puis tapez le nom du nouveau domaine enfant. Informations d'identification réseau Tapez le nom d'utilisateur. il contacte le maître de nommage de domaine pour demander l'ajout ou la suppression. Lorsque vous utilisez l'Assistant Installation de Active Directory pour créer ou supprimer un domaine enfant. le mot de passe et le domaine utilisateur du compte d'utilisateur que vous souhaitez utiliser pour cette opération. vous n'avez pas la possibilité d'ajouter ni de supprimer des domaines. Nouvelle arborescence de domaine Tapez le nom DNS complet du nouveau domaine. Le tableau suivant répertorie les étapes que vous allez réaliser lors de l'installation. Passez en revue la page Résumé. Procédure de création La procédure de création d'une arborescence à l'aide de l'Assistant Installation d'une arborescence de Active Directory est similaire à celle permettant de créer un domaine racine de la forêt. Installation d'un domaine enfant Vérifiez le domaine parent. Le compte d'utilisateur doit être un membre du groupe Administrateurs de l'entreprise. . le mot de passe et le domaine utilisateur du compte d'utilisateur que vous souhaitez utiliser pour cette opération. Le maître de nommage de domaine doit impérativement s'assurer que les noms de domaine sont uniques.

déterminez si vous allez effectuer la réplication initiale d'Active Directory par le biais du réseau à partir d'un contrôleur de domaine à proximité ou d'un support sauvegardé. de telle sorte que le domaine. Procédure Avant de commencer l'installation. l'installation de plusieurs contrôleurs de domaine dans le domaine active automatiquement la tolérance de pannes pour les données enregistrées dans Active Directory. vous devez disposer d'au moins deux contrôleurs de domaine dans un seul domaine. Choisissez de répliquer Active Directory par le biais du réseau si le contrôleur de domaine répliqué va être installé : ! sur un site sur lequel un autre contrôleur de domaine existe . ! sur un nouveau site connecté à un site existant par un réseau à grande vitesse. Etant donné que tous les contrôleurs de domaine d'un domaine répliquent les données spécifiques au domaine de l'un vers un autre. Lorsque vous copiez des informations relatives au domaine à partir de fichiers de sauvegarde restaurés. Ensuite. Si un contrôleur de domaine tombe en panne. puisse continuer à fonctionner. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 11 Comment ajouter un contrôleur de domaine répliqué ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Pour activer la tolérance de pannes au cas où le contrôleur de domaine se déconnecte de manière inattendue. . Choisissez de répliquer Active Directory à partir d'un support de sauvegarde si vous souhaitez installer le premier contrôleur de domaine sur un site distant pour un domaine existant. les contrôleurs de domaine restants fournissent les services d'authentification et assurent l'accès aux objets d'Active Directory. vous devez restaurer la sauvegarde de l'état du système sur le serveur sur lequel vous installez Active Directory. vous devez préalablement sauvegarder les données sur l'état du système d'un contrôleur de domaine exécutant Windows Server 2003 à partir du domaine dans lequel ce serveur membre va devenir un contrôleur de domaine supplémentaire.

choisissez l'une des options suivantes sur la page Copie des informations du domaine en cours : • Via le réseau. du cours 2194. 5. 6. 8. Sinon. Dans la page Dossiers de la base de données et du journal. .12 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Important Si un contrôleur de domaine qui a été sauvegardé contient une partition d'annuaire de l'application. indiquez l'emplacement dans lequel vous souhaitez installer les dossiers de la base de données et du journal. le mot de passe et le domaine utilisateur du compte d'utilisateur que vous souhaitez utiliser pour cette opération. puis cliquez sur Suivant. Le compte d'utilisateur doit être un membre du groupe Admins du domaine pour le domaine cible. « Maintenance d'Active Directory ». Pour installer un contrôleur de domaine répliqué. vous aurez la possibilité de faire de ce nouveau contrôleur de domaine un serveur de catalogue global. consultez le Module 10. implémentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003. Si le contrôleur de domaine à partir duquel vous avez restauré les données sur l'état du système était un serveur de catalogue global. 9. procédez comme suit : 1. cochez la case Contrôleur de domaine supplémentaire pour un domaine existant. Sur la page Informations d'identification réseau. 3. spécifiez le nom de domaine pour lequel ce serveur deviendra un contrôleur de domaine supplémentaire. • À partir des fichiers de restauration de cette sauvegarde. Lorsque le système vous y invite. puis indiquez l'emplacement des fichiers de sauvegarde restaurés. cette partition ne sera pas restaurée sur le nouveau contrôleur de domaine. redémarrez l'ordinateur. tapez et confirmez le mot de passe du mode de restauration des services d'annuaire. Dans la page Volume système partagé. ou cliquez sur Parcourir pour choisir un emplacement. Passez en revue la page Résumé. Exécutez dcpromo. si vous lancez l'Assistant Installation de Active Directory avec l'option /adv. Remarque Pour plus d'informations sur la sauvegarde et la restauration d'Active Directory. 2. 7. Planification. ou cliquez sur Parcourir pour choisir un emplacement. Sur la page Mot de passe administrateur de restauration des services d'annuaire. Sur la page Type de contrôleur de domaine. Dans la page Contrôleur de domaine supplémentaire. 4. exécutez dcpromo avec l'option /adv. puis cliquez sur Suivant pour commencer l'installation. tapez le nom d'utilisateur. Pour installer un contrôleur de domaine supplémentaire à partir des fichiers de sauvegarde. tapez l'emplacement dans lequel vous souhaitez installer le dossier SYSVOL.

msft en dc1. vous devez préalablement « rétrograder » le contrôleur de domaine. double-cliquez sur l'icône Système.msft. puis le promouvoir au titre de contrôleur de domaine dans le nouveau domaine. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 13 Comment renommer un contrôleur de domaine ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Dans Windows Server 2003. vous avez la possibilité de renommer un contrôleur de domaine après l'avoir installé. vous devez ajouter le nouveau nom du contrôleur de domaine et supprimer l'ancien des bases de données DNS et Active Directory. vous pouvez modifier son suffixe DNS principal. procédez comme suit : 1. l'ordinateur reste un contrôleur de domaine pour le domaine nwtraders. sous l'onglet Nom de l'ordinateur. Pour ce faire. Dans la boîte de dialogue Propriétés Système.contoso. Lorsque vous renommez un contrôleur de domaine. 4. cliquez sur Modifier. Pour déplacer un contrôleur de domaine vers un autre domaine. 2. confirmez que vous souhaitez renommer le contrôleur de domaine.msft. Lorsque vous renommez un contrôleur de domaine. Dans le Panneau de configuration. cette modification ne permet pas de déplacer le contrôleur de domaine vers un nouveau domaine Active Directory. même si le suffixe DNS principal est contoso. Remarque Le fait de renommer ce contrôleur de domaine risque de le rendre provisoirement indisponible aux utilisateurs et aux ordinateurs.nwtraders.msft. puis cliquez sur OK. Entrez le nom complet de l'ordinateur (notamment le suffixe DNS principal). Toutefois. Par exemple. . Losrque vous y êtes invité. Procédure Pour renommer un contrôleur de domaine. Vous pouvez renommer un contrôleur de domaine uniquement si le niveau fonctionnel du domaine est défini sur Windows Server 2003. vous devez disposer des droits Administrateurs du domaine. 3. si vous renommez le serveur dc2.

le retrait du contrôleur de domaine va supprimer la forêt. cochez la case Ce serveur est le dernier contrôleur de domaine du domaine. le domaine va être supprimé de la forêt lors du retrait du contrôleur de domaine. S'il s'agit du dernier contrôleur de domaine.14 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Comment supprimer un contrôleur de domaine d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Dans Windows Server 2003. Dans la page Supprimer Active Directory. Si ce domaine est le dernier de la forêt. 3. Ouvrez l'Assistant Installation de Active Directory. puis cliquez sur Suivant. puis cliquez sur Suivant. passez en revue le résumé. puis cliquez sur Suivant. tapez le nouveau mot de passe administrateur dans les boîtes de dialogue Nouveau mot de passe administrateur et Confirmer le mot de passe. s'il s'agit du dernier contrôleur de domaine du domaine. vous avez la possibilité de supprimer un contrôleur de domaine qui n'est plus nécessaire ou qui a été endommagé par une catastrophe naturelle. Dans la page Résumé. 2. . 4. procédez comme suit : contrôleur de domaine qui est en ligne 1. Dans la page Mot de passe administrateur. Procédure de Pour supprimer un contrôleur de domaine qui est en ligne et qui n'est plus suppression d'un nécessaire.

A l'invite Select operation target. A l'invite Server connections. A l'invite Metadata cleanup. assurez-vous que les utilisateurs peuvent disposer d'un autre catalogue global avant de supprimer le contrôleur de domaine. tapez la séquence de commandes suivante afin d'identifier et de sélectionner le contrôleur de domaine endommagé : select operation target: list sites select operation target: select site numéro select operation target: list servers in site select operation target: select server numéro select operation target: quit 6. procédez comme suit : 1. tapez la séquence de commandes suivante pour vous connecter au contrôleur de domaine du domaine qui contient le contrôleur de domaine endommagé : Server connections: Connect to server Nom_Serveur FQDN Server connections: quit 4. À l'invite. tapez la commande suivante pour supprimer le contrôleur de domaine endommagé d'Active Directory : metadata cleanup: remove selected server metadata cleanup: quit Important Lorsque vous supprimez un contrôleur de domaine qui est serveur de catalogue global. redémarrez le contrôleur de domaine en contrôleur de domaine Mode restauration Active Directory (contrôleurs de domaine Windows).exe: metadata cleanup 2. puis endommagé exécutez la commande ntdsutil à l'aide de l'option de nettoyage des métadonnées. si le contrôleur de domaine détient un rôle de maître d'opérations. A l'invite Metadata cleanup. A l'invite Metadata cleanup. tapez la commande suivante et appuyez sur ENTRÉE. reportez-vous au Module 9. metadata cleanup: connections 3. . De même. vous devez transférer ce rôle vers un autre contrôleur de domaine avant de le supprimer. Pour obtenir des informations relatives au transfert d'un rôle de maître d'opérations vers un autre contrôleur de domaine. Pour ce faire. implémentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 15 Procédure de Pour supprimer un contrôleur de domaine endommagé et qui ne peut pas être suppression d'un démarré à partir d'Active Directory. du cours 2194. sélectionnez la cible des opérations en entrant la commande suivante : metadata cleanup: select operation target 5. « Gestion des maîtres d'opérations ». Planification. Ntdsutil. tapez la commande suivante et appuyez sur ENTRÉE.

staging areas et sysvol. de ses dossiers par exemple) ne seront pas répliquées entre les contrôleurs de domaine. Par exemple. Vérifiez l'installation d'Active Directory lorsque l'Assistant a terminé l'installation et que le nouveau contrôleur de domaine redémarre. . qui doit contenir les sous dossiers domain. remplacez %systemroot% par l'emplacement correct. staging. les données du dossier SYSVOL (Stratégie de groupe et scripts.16 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Comment vérifier l'installation d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Le processus d'installation d'Active Directory crée un certain nombre d'objets par défaut dans la base de données Active Directory. tapez %systemroot%\sysvol et cliquez sur OK. partagés Pour vérifier que la structure de dossiers a été créée. Vérification de la Vous devez vérifier que la structure de dossiers SYSVOL et que les dossiers création de la structure partagés nécessaires ont été créés. Si le dossier SYSVOL n'a pas été créé de dossiers SYSVOL et correctement. L'Explorateur Windows affiche le contenu du dossier SYSVOL. exécutez la procédure suivante : ! Cliquez sur Démarrer. Il crée également le dossier système partagé ainsi que la base de données et les fichiers journaux. Remarque Si vous avez modifié l'emplacement de la base de données et des fichiers journaux de l'annuaire lors de l'installation. pour la classe. l'emplacement est C:\WINNT. puis sur Exécuter.

! Res*.*. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 17 Pour vérifier que les dossiers partagés nécessaires ont été créés. Il s'agit des fichiers journaux réservés. La liste suivante des dossiers partagés doit s'afficher sur l'ordinateur. Nom du partage Enregistrements Remarque NETLOGON %systemroot%\SYSVOL\sysvol\domaine\ Partage de serveur SCRIPTS d'accès SYSVOL %systemroot%\SYSVOL\sysvol Partage de serveur d'accès Vérification de la Pour vérifier que la base de données et les fichiers journaux d'Active Directory création de la base de ont été créés. tapez net share et appuyez sur ENTRÉE. . exécutez la procédure suivante : données et des fichiers journaux d'Active ! Cliquez sur Démarrer. L'Explorateur Windows affiche le contenu du dossier Ntds. Il s'agit des fichiers journaux des transactions et de points de vérification.log. Il s'agit du fichier de la base de données de l'annuaire. exécutez la procédure suivante : ! À l'invite de commande. ! Edb.dit. tapez %systemroot%\ntds et cliquez Directory sur OK. sur Exécuter. qui doit comporter les fichiers suivants : ! Ntds.

des groupes et des défaut unités d'organisation. System Enregistre les paramètre système intégrés. Le tableau suivant présente l'objectif de certains de ces objets par défaut. Analyse des journaux Après avoir installé Active Directory. Les objets Quota déterminent le nombre d'objets d'annuaire qu'une entité de sécurité peut détenir dans Active Directory. des ordinateurs. Serveur DNS et Service de réplication de fichier. LostAndFound Conteneur par défaut des objets orphelins. Program Data Emplacement de stockage par défaut des données d'application. plusieurs objets par défaut sont créés. Security IDentifier) des domaines externes approuvés. NTDS Quotas Enregistre les spécifications relatives au quota. Users Emplacement par défaut des comptes d'utilisateurs et de groupes. . des utilisateurs. Service d'annuaire. Les messages d'erreur générés lors de l'installation sont enregistrés dans les journaux Système. Ces objets Active Directory par peuvent être des conteneurs. jetez un oeil dans les journaux des des événements pour événements pour prendre connaissance des éventuelles erreurs qui se sont voir les erreurs produites lors du processus d'installation. Computers Emplacement par défaut des comptes d'ordinateurs. ForeignSecurityPrincipals Détient les identificateurs de sécurité (SID. Affichez ces objets par défaut à l'aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Domain Controllers Unité d'organisation et emplacement par défaut des comptes d'ordinateurs du contrôleur de domaine.18 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Vérification de la Lors de l'installation d'Active Directory sur le premier contrôleur de domaine création de la structure d'un nouveau domaine. Objet Description Builtin Détient les groupes de sécurité intégrés par défaut.

Problème Solution Accès refusé lors de Fermez la session. ou NetBIOS ne sont pas uniques . ainsi que les stratégies permettant de les résoudre. contrôleurs de domaine Fournissez les informations d'identification d'un compte d'utilisateur membre des groupes Admins du domaine et Administrateurs de l'entreprise. Ces problèmes peuvent être le résultat d'informations d'identification de sécurité invalides. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 19 Comment résoudre les problèmes liés à l'installation d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Lors de l'installation d'Active Directory. puis ouvrez-là de nouveau à l'aide d'un compte appartenant au l'installation ou de l'ajout de groupe Administrateurs local. Problèmes courants Le tableau suivant décrit certains problèmes courants que vous êtes susceptible liés à l'installation de rencontrer lors de l'installation d'Active Directory. d'un réseau qui n'est pas fiable ou de ressources insuffisantes. Les noms de domaine DNS Modifiez le nom de sorte qu'il soit unique. vous risquez de rencontrer certains problèmes. de l'utilisation de noms qui ne sont pas uniques.

à l'invite de commande. Vérifiez que le système DNS fournit une résolution de noms à au moins un contrôleur du domaine en vous connectant à un contrôleur de domaine à l'aide de son nom DNS. tapez le nom de domaine pleinement qualifié (FQDN. Espace disque insuffisant Augmentez la taille de la partition ou installez la base de données et les fichiers journaux Active Directory sur des partitions distinctes. vous pourrez vous connecter au contrôleur de domaine. Si le système DNS est configuré correctement. Pour ce faire. . Utilisez la commande ping à partir de l'invite de commande pour tester la connexion avec un contrôleur de domaine du domaine. Fully Qualified Domain Name) du contrôleur de domaine.20 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory (suite) Problème Solution Le domaine ne peut pas être Assurez-vous que la connexion réseau est effective entre le serveur que vous souhaitez contacté promouvoir au titre de contrôleur de domaine et au moins l'un des contrôleurs de domaine du domaine. Vous pouvez également vous assurer que le système DNS a été configuré correctement en vérifiant les enregistrements A que les contrôleurs de domaine enregistrent dans la base de données DNS.

6.msft. cliquez sur Contrôleur de domaine pour un nouveau domaine. 4.msft pour chaque nouveau bureau. 3. puis cliquez sur OK. 8. puis sur Suivant. Application pratique ! Installer Active Directory et créer le domaine enfant 1. 7. Sur la page Type de contrôleur de domaine. puis cliquez sur Exécuter en tant que. Dans la boîte de dialogue Exécuter en tant que. tapez un nom d'utilisateur Nwtraders\Administrateur et le mot de passe P@ssw0rd. cliquez sur Suivant. 2. cliquez sur L'utilisateur suivant. Dans la page Assistant Installation de Active Directory. Dans la page Compatibilité du système d'exploitation. Connectez-vous en tant que Nwtraders\Nom_OrdinateurUser avec le mot de passe P@ssw0rd (où Nom_Ordinateur est le nom de l'ordinateur sur lequel vous travaillez). À l'invite de commandes. cliquez avec le bouton droit sur Invite de commandes. Dans la page Créer un nouveau domaine. 5. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 21 Application pratique : Création d'un domaine enfant ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Objectifs Dans cette application pratique. Après l'installation d'Active Directory. . ainsi que celle de la base de données et des fichiers journaux. tapez dcpromo et appuyez sur ENTRÉE. Vous devez créer de nouveaux domaines dans le domaine nwtraders. Cliquez sur Démarrer. cliquez sur Domaine enfant dans une arborescence de domaine existante. puis cliquez sur Suivant. vous allez installer Active Directory et créer un domaine enfant dans le domaine racine de la forêt nwtraders. vous allez vérifier la création du dossier de volume de système partagé. Scénario La société Northwind Traders ouvre des bureaux à de nouveaux emplacements. cliquez sur Suivant.

Dans la page Dossier de la base de données et du journal. Dans la page Diagnostics des inscriptions DNS.22 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 9.msft. puis cliquez sur Suivant. Dans la page Autorisations. acceptez l'emplacement par défaut d'installation du dossier SYSVOL. Dans la page Volume système partagé. Passez en revue la page Résumé. tapez le nom de domaine enfant corpx où x est le dernier numéro de votre adresse IP. cliquez sur Autorisations compatibles uniquement avec les systèmes d'exploitation Windows 2000 ou Windows Server 2003. 12. P@ssw0rd comme mot de passe. . puis cliquez sur Suivant.msft est le domaine. cliquez sur Suivant pour commencer l'installation. puis cliquez sur Suivant. assurez-vous que les paramètres de configuration DNS sont exacts. puis cliquez sur Suivant. puis cliquez sur Suivant. 13. assurez-vous que le domaine parent est nwtraders. Sur la page Installation d'un domaine enfant. puis sur Terminer. tapez Administrateur comme nom d'utilisateur. Lorsque vous y êtes invité. 15. Dans la page Informations d'identification réseau. acceptez la sélection par défaut. 17. 14. vérifiez le nom NetBIOS corpx. 10. redémarrez l'ordinateur. puis cliquez sur Suivant. tapez et confirmez le mot de passe P@ssw0rd et cliquez sur Suivant. Sur la page Mot de passe administrateur de restauration des services d'annuaire. puis cliquez sur Suivant. 16. 11. 18. Dans la page Nom de domaine NetBIOS. assurez-vous que nwtraders.

par exemple). Cette leçon décrit le format des enregistrements de ressources SRV (enregistrements DNS que les contrôleurs de domaine enregistrent) et explique comment Active Directory utilise ces enregistrements pour rechercher les fournisseurs de ressources. . Objectifs de la leçon À la fin de cette leçon. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 23 Leçon : Analyse du système DNS intégré à Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Windows Server 2003 exige qu'une infrastructure DNS soit en place avant d'installer Active Directory. ! décrire les enregistrements SRV enregistrés par les contrôleurs de domaine . Il est important de comprendre comment DNS et Active Directory sont intégrés et comment les ordinateurs clients utilisent le système DNS lors de l'ouverture de session afin de résoudre les problèmes liés au système DNS (problèmes d'ouverture de session client. ! analyser les enregistrements DNS enregistrés par un contrôleur de domaine . ! décrire comment les ordinateurs clients utilisent le système DNS pour rechercher des contrôleurs et des services de domaine. ! expliquer la finalité des zones intégrées à Active Directory . ! décrire la finalité des enregistrements SRV . vous serez à même d'effectuer les tâches suivantes : ! décrire les relations entre les espaces de noms du système DNS et d'Active Directory .

msft ont le nom FQDN suivant : computer1.24 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Espaces de noms DNS et Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Les domaines DNS et Active Directory utilisent des noms de domaine identiques pour différents espaces de noms. Relations entre l'espace Les domaines et les ordinateurs sont représentés par des enregistrements de de noms DNS et ressources dans l'espace de noms DNS et par des objets Active Directory dans l'espace de noms l'espace de noms Active Directory. les ordinateurs d'un réseau Windows Server 2003 peuvent utiliser le système DNS pour rechercher des contrôleurs de domaine et d'autres ordinateurs qui fournissent des services Active Directory. L'enregistrement de ressources A contient le nom FQDN et l'adresse IP du contrôleur de domaine. En utilisant des noms de domaine identiques.msft Intégration du système L'intégration du système DNS et d'Active Directory est essentielle car un DNS et d'Active ordinateur client d'un réseau Windows Server 2003 doit pouvoir rechercher un Directory contrôleur de domaine de sorte que les utilisateurs. Par exemple.microsoft. un ordinateur appelé Computer1 appartenant au domaine Active Directory appelé training.microsoft. Active Directory Le nom d'hôte DNS d'un ordinateur est identique à celui du compte d'ordinateur stocké dans Active Directory.training. Les clients recherchent les contrôleurs de domaine et les services grâce aux enregistrements de ressources A et aux enregistrements SRV. . Le nom de domaine DNS (également appelé suffixe DNS principal) et le domaine Active Directory auquel appartient l'ordinateur ont le même nom. puissent ouvrir une session sur un domaine ou utiliser les services proposés par Active Directory. L'enregistrement SRV contient le nom FQDN du contrôleur de domaine et le nom du service que fournit le contrôleur de domaine.

seuls les contrôleurs de domaine qui souscrivent à la partition d'application participent à sa réplication. Les zones intégrées à Active Directory sont des zones DNS principales et de stub stockées en tant qu'objets dans la base de données Active Directory. Zones intégrées à Active Les serveurs DNS Microsoft stockent des informations utilisées pour résoudre Directory des noms d'hôte en adresses IP. qui permet de transférer des zones de ces enregistrements pour fonctionner en tant qu'unité unique. et inversement. Une zone est une partie de l'espace de noms de domaine possédant un groupement logique d'enregistrements de ressources. si les objets de zone sont stockés dans une partition de domaine Active Directory.dns pour chaque zone. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 25 Définition des zones intégrées à Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction L'intégration DNS et Active Directory offre la possibilité d'intégrer des zones DNS dans une base de données Active Directory. . Vous pouvez stocker des objets de zone dans une partition d'application Active Directory ou dans une partition de domaine Active Directory. Toutefois. Si les objets de zone sont stockés dans une partition d'application Active Directory. dans un fichier de base de données suivi de l'extension . ils sont répliqués sur tous les contrôleurs de domaine du domaine.

Dans le modèle de mise à jour multimaître d'Active Directory. Etant donné que la copie principale de la zone est gérée dans la base de données Active Directory. des mises à jour dynamiques du système sur le système DNS sont menées en fonction d'un modèle de mise à jour multimaître. ! Transferts de zone standard vers d'autres serveurs DNS. la zone peut être mise à jour par les serveurs DNS fonctionnant sur un contrôleur de domaine pour le domaine. Effectue des transferts de zone standard vers des serveurs DNS qui ne sont pas configurés en tant que contrôleur de domaine. Dans ce modèle. De cette manière. par exemple) sont conçus en tant que source principale pour la zone. Etant donné que les zones DNS sont des objets Active Directory des zones intégrées à Active Directory. reportez-vous à la rubrique « Définition des zones intégrées à Active Directory » de la page des annexes du module 2 sur le CD-ROM du stagiaire. Il s'agit de la méthode requise pour répliquer des zones vers des serveurs DNS dans d'autres domaines. qui est intégralement répliquée sur tous les contrôleurs de domaine. Lorsque vous configurez les zones intégrées à Active Directory. les serveurs DNS qui font autorité (un contrôleur de domaine exécutant un serveur DNS. vous pouvez définir des autorisations d'accès aux enregistrements au sein de ces zones afin de contrôler les ordinateurs qui peuvent mettre à jour leurs enregistrements. ! Mises à jour dynamiques sécurisées. tout serveur principal de la zone intégrée d'annuaire peut traiter des requêtes émises par les clients DNS pour mettre à jour la zone. Remarque Pour plus d'informations sur les zones intégrées à Active Directory et à la réplication DNS. aussi longtemps qu'un contrôleur de domaine est disponible sur le réseau. les mises à jour qui utilisent le protocole de mise à jour dynamique ne peuvent provenir que des ordinateurs autorisés.26 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Avantages des zones Les zones intégrées à Active Directory offrent les avantages suivants : intégrées à Active Directory ! Réplication multimaître. . Cela permet également d'effectuer des transferts de zone standard vers des serveurs DNS qui se trouvent dans d'autres domaines.

Lorsqu'un contrôleur de domaine démarre. les ordinateurs clients doivent être en mesure de localiser les serveurs qui fournissent des services spécifiques tels que l'authentification des demandes d'ouverture de session et la recherche d'informations dans Active Directory. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 27 Définition des enregistrements de ressources SRV ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Pour qu'Active Directory fonctionne correctement. un enregistrement SRV peut contenir des informations permettant aux clients de localiser un contrôleur de domaine dans un domaine ou une forêt spécifique. Par exemple. Finalité des Les enregistrements de ressources SRV établissent un lien entre un service et le enregistrements SRV nom d'ordinateur DNS de l'ordinateur qui offre le service. Un ordinateur client DNS utilise ultérieurement ces informations combinées afin de localiser le service requis sur le contrôleur de domaine approprié. . qui contiennent son nom d'ordinateur DNS et son adresse IP. il enregistre les enregistrements SRV et un enregistrement de ressources A. Active Directory stocke les informations relatives à l'emplacement des ordinateurs qui fournissent ces services dans des enregistrements DNS connus sous le nom d'enregistrements de ressources SRV.

par exemple) fourni par le serveur qui enregistre cet enregistrement SRV. Poids Indique un mécanisme d'équilibre de charge que les clients utilisent lors de la sélection d'un hôte cible. qui est presque toujours « IN » pour le système Internet . Port Spécifie le port sur lequel le serveur écoute ce service. Priorité Spécifie la priorité du serveur. également appelé nom de domaine complet. Il s'agit de la seule classe prise en charge par le système DNS de Windows Server 2003. tel que TCP ou UDP (User Datagram Protocol).Nom Ttl Classe SRV Priorité Poids Port Cible Le tableau ci-dessous présente chaque champ d'un enregistrement SRV. reportez-vous à la rubrique « Définition des enregistrements de ressources SRV » de la page d'annexe du module 2 sur le CD-ROM du stagiaire. Time To Live) en secondes. Lorsque le champ de priorité est identique pour deux ou trois enregistrements d'un même domaine. _Protocole Spécifie le type de protocole de transport. les clients choisissent de manière aléatoire des enregistrements SRV dont le poids est supérieur. Les enregistrements SRV utilisent le format suivant : _ Service. Champ Description _Service Spécifie le nom du service. Nom Spécifie le nom de domaine auquel fait référence l'enregistrement de ressources.28 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Format des Tous les enregistrements SRV utilisent un format standard composé de champs enregistrements SRV contenant les informations qu'Active Directory utilise afin de mapper un service à l'ordinateur qui fournit le service._Protocole. C'est un champ standard des enregistrements de ressources DNS précisant la durée pendant laquelle l'enregistrement est considéré valide. Remarque Pour plus d'informations sur la priorité et le poids (notamment sur la manière de les configurer). Les clients tentent de contacter l'hôte dont la priorité est la plus faible. Classe Spécifie la valeur de la classe de l'enregistrement de ressources DNS. Ttl Spécifie la durée de vie (TTL. (LDAP [Lightweight Directory Access Protocol] ou Kerberos. de l'ordinateur qui fournit le service. . Cible Spécifie le nom FQDN.

msft 600 IN SRV 0 100 389 london.msft L'enregistrement SRV indique que l'ordinateur possède les services ou les caractéristiques suivantes : ! Fournit le service LDAP ! Fournit le service LDAP grâce au protocole de transport TCP ! Enregistre l'enregistrement SRV dans le domaine DNS contoso. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 29 Exemple L'exemple suivant illustre un enregistrement SRV d'un ordinateur : _ldap.contoso.contoso. Time To Live) de 600 secondes ou de 10 minutes ! Possède un nom FQDN de london.msft ! Dispose d'une durée de vie (TTL._tcp.contoso.msft .

les avec le système DNS contrôleurs de domaine exécutant Windows Server 2003 enregistrent les enregistrements de ressources SRV en utilisant le format suivant : _Service. Comment les services Lorsqu'un contrôleur de domaine démarre._Protocole. le service Ouverture de session sont enregistrés avec le réseau installé sur le contrôleur de domaine utilise les mises à jour dynamiques système DNS pour enregistrer les enregistrement de ressources SRV dans la base de données DNS.Nom_Domaine_Dns ou Nom_Forêt_Dns Le composant _msdcs indique un sous-domaine dans l'espace de noms DNS spécifique à Microsoft. qui permet aux ordinateurs de localiser les contrôleurs de domaine ayant des fonctions dans le domaine ou la forêt de Windows Server 2003. qui est un préfixe du sous- domaine _msdcs. Dans Windows Server 2003. les contrôleurs de domaine et les serveurs de catalogue global enregistrent les services avec le système DNS.30 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Enregistrements SRV enregistrés par les contrôleurs de domaine ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Les enregistrements de ressources SRV sont enregistrés par les ordinateurs qui fournissent un service Active Directory._msdcs. spécifie les types de rôles du serveur suivants : ! dc pour le contrôleur de domaine ! gc pour le serveur de catalogue global . Les valeurs possibles pour le composant DCType. Services enregistrés Pour permettre à un ordinateur de localiser un contrôleur de domaine. Les enregistrements de ressources SRV mappent le nom du service que le contrôleur de domaine fournit sur le nom d'ordinateur DNS de ce contrôleur de domaine.DcType.

_tcp._sites. .Nom_Forêt_Dns _ldap._sites._tcp.Nom_Site._tcp._msdcs._msdcs.dc.dc. Nom_Site est le nom unique relatif de l'objet Site qui est enregistré dans Active Directory. Nom_Forêt_Dns est le nom de domaine du domaine racine de la forêt.dc. Seuls les contrôleurs de domaine configurés en tant que serveurs de catalogue global enregistrent cet enregistrement. Tous les contrôleurs de domaine exécutant le protocole d'authentification Kerberos version 5 procèdent à cet enregistrement.gc._sites.Nom_Site._sites._sites._tcp._msdcs. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 31 La présence du sous-domaine _msdcs signifie que les contrôleurs de domaine exécutant Windows Server 2003 enregistrent également les enregistrements de ressources SRV suivants : _ldap.Nom_Site._tcp. Seuls les contrôleurs de domaine configurés en tant que serveurs de catalogue global enregistrent cet enregistrement._tcp.Nom_Site. _ldap.Nom_Domaine_Dns _kerberos.Nom_Domaine_ Un contrôleur de domaine dans le domaine spécifié par Dns Nom_Domaine_Dns et dans le site appelé Nom_Site.Nom_Domaine_Dns Un serveur KDC (Key Distribution Center) pour le domaine spécifié par Nom_Domaine_Dns._msdcs. _gc. sites._tcp. Tous les contrôleurs de domaine enregistrent cet enregistrement. Tous les contrôleurs de domaine enregistrent cet enregistrement._tcp._tcp.gc.Nom_Domaine_Dns Un serveur KDC pour le domaine spécifié par Nom_Domaine_Dns dans le site spécifié par Nom_Site. Nom_Forêt_Dns Un serveur de catalogue global de la forêt appelée Nom_Forêt_Dns et dans le site spécifié par Nom_Site.Nom_Domaine_Dns Le tableau suivant répertorie certains enregistrements de ressources SRV enregistrés par les contrôleurs de domaine et définit les critères de recherche pris en charge par chaque enregistrement.Nom_Forêt_Dns _kerberos. Enregistrement SRV Permet à un ordinateur de rechercher _ldap._tcp.Nom_Domaine_Dns Un serveur LDAP dans le domaine spécifié par Nom_Domaine_Dns. Tous les contrôleurs de domaine exécutant le protocole Kerberos version 5 procèdent à cet enregistrement._msdcs. _kerberos.Nom_Domaine_Dns _ldap._tcp.Nom_Site.dc. _gc.dc._tcp._msdcs._msdcs.Nom_Site.Nom_Domaine_Dns _ldap. _kerberos.Nom_Forêt_Dns Un serveur de catalogue global dans la forêt appelée par Nom_Forêt_Dns.

Double cliquez sur Serveur (où Serveur est le nom de votre serveur DNS). Procédure d'affichage Pour afficher les enregistrements de ressources SRV enregistrés à l'aide de la des enregistrements console DNS. Ouvrez DNS à partir du menu Outils d'administration.32 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Comment analyser les enregistrements enregistrés par un contrôleur de domaine ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Vous pouvez utiliser la console DNS ou l'utilitaire Nslookup pour afficher les enregistrements de ressources SRV que les contrôleurs de domaine enregistrent. puis sur domaine (où domaine est le nom de domaine). 3. suivez la procédure suivante : SRV grâce à la console DNS 1. sur Zones de recherche directes. 2. Ouvrez les dossiers suivants dans le dossier domaine pour afficher les enregistrements de ressources enregistrés : • _msdcs • _sites • _tcp • _udp .

Nslookup génère une recherche inversée afin de déterminer le nom d'hôte du serveur DNS en fonction de son adresse IP. 2. Remarque Si aucune zone de recherche inversée n'est configurée. La commande ls –t procède à un transfert de zone. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 33 Procédure d'affichage Pour afficher les enregistrements de ressources SRV enregistrés à l'aide de la des enregistrements commande Nslookup. Pour enregistrer les résultats de cette liste dans un fichier. tapez ls –t SRV domaine > nom_fichier (où nom_fichier est le nom que vous attribuez au fichier). Tapez ls –t SRV domaine (où domaine est le nom de domaine) et appuyez sur ENTRÉE. . En effet. Nslookup affiche des erreurs de dépassement de délai lorsque vous exécutez l'utilitaire pour la première fois. Ouvrez une fenêtre d'invite de commande. Les enregistrements de ressources SRV enregistrés sont répertoriés. exécutez la procédure suivante : SRV grâce à Nslookup 1. puis exécutez l'utilitaire Nslookup. Assurez-vous que les transferts de zone sont activés avant d'exécuter la commande.

qui contient l'adresse IP du contrôleur de domaine. Processus d'utilisation La procédure ci-dessous explique comme un client utilise le système DNS pour du système DNS pour localiser un contrôleur de domaine : localiser un contrôleur de domaine 1. Le serveur DNS retourne l'enregistrement hôte pour ce contrôleur de domaine. vous serez à même d'expliquer comment des ordinateurs clients utilisent le système DNS pour localiser des contrôleurs et des services de domaine. Un service sur l'ordinateur client collecte les informations sur le client et le service requis. Le service client envoie une seconde requête DNS pour demander l'adresse IP du contrôleur de domaine spécifique. 5. cliquez sur Multimédia. Le service client envoie les informations collectées à un serveur DNS sous forme de requête DNS. Objectifs A la fin de cette présentation. 2. puis sur le titre de la présentation.34 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Présentation multimédia : Utilisation de DNS par les ordinateurs clients pour trouver un contôleur de domaine ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Emplacement de fichier Pour commencer la présentation Utilisation de DNS par les ordinateurs clients pour trouver un contôleur de domaine. . N'ouvrez pas cette présentation avant d'y être invité par l'instructeur. ouvrez la page Web sur le CD-ROM des stagiaires. 6. 4. Le service client parcourt les enregistrements SRV et en sélectionne un en fonction de la priorité et du poids affectés dans l'enregistrement SRV. 3. Le serveur DNS renvoie une liste d'enregistrements SRV pour les contrôleurs de domaine qui fournissent le service requis dans le domaine et le site spécifiés.

Remarque Pour plus d'informations sur le recouvrement de site. reportez-vous à la rubrique « Comment les ordinateurs clients utilisent le système DNS pour localiser des contrôleurs et services de domaine » de la page d'annexe du module 2 sur le CD-ROM du stagiaire. 8. . Le service client place ensuite en mémoire cache le nom du contrôleur de domaine et les informations relatives aux services qu'il offre. Le client utilise l'adresse IP pour contacter le contrôleur de domaine et lancer une communication avec le service requis. Si le client ne parvient pas à contacter le contrôleur de domaine. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 35 7. il sélectionne un autre enregistrement parmi les enregistrements SRV retournés pour trouver un contrôleur de domaine alternatif. Les requêtes suivantes du client utilisent les informations placées dans la mémoire cache.

puis ouvrez-la en tant que Nwtraders\Nom_OrdinateurUser avec le mot de passe P@ssw0rd.36 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Application pratique : Vérification des enregistrements SRV ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Objectifs Dans cette application pratique. Dans la boîte de dialogue Ajouter un utilisateur ou un groupe. 9. double-cliquez sur Permettre l'ouverture d'une session locale. puis fermez la page Gérer votre serveur. Dans la boîte de dialogue Propriétés de Permettre l'ouverture d'une session locale. cliquez sur Ajouter un utilisateur ou un groupe. vous allez analyser les enregistrements SRV enregistrés par votre contrôleur de domaine à l'aide de la console DNS. Dans la boîte de dialogue Propriétés de Permettre l'ouverture d'une session locale. développez Stratégies locales. 5. 8. sélectionnez Outils d'administration. 4. Scénario Vous venez de créer un domaine enfant sur votre réseau. tapez gpupdate et cliquez sur OK. 6. puis cliquez sur Stratégie de sécurité du contrôleur de domaine. Cliquez sur Démarrer. Cliquez sur Démarrer. Dans le volet de détails. sur Exécuter. puis cliquez sur Attributions des droits utilisateurs. Dans l'arborescence de la console. . Vous souhaitez vérifier que votre contrôleur de domaine a enregistré ses enregistrements de ressources SRV avec Active Directory. Application pratique ! Afficher les enregistrements de ressources SRV enregistrés par votre contrôleur de domaine 1. 3. Ouvrez une session en tant que Corpx\Administrateur avec le mot de passe P@ssw0rd 2. Fermez la session. tapez Nwtraders\Nom_OrdinateurUser (où Nom_Ordinateur est le nom de l'ordinateur sur lequel vous travaillez). Cliquez sur Ne pas afficher cette page lors de l'ouverture de la session. 7. 10. cliquez sur OK. puis cliquez sur OK.

puis cliquez sur OK. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 37 11. . Dans la boîte de dialogue Exécuter en tant que. 14. puis ouvrez les dossiers suivants dans le dossier corpx pour afficher les enregistrements de ressources SRV qui ont été enregistrés : • _msdcs • _sites • _tcp • _udp 15. tapez LONDON et cliquez sur OK. cliquez sur L'ordinateur suivant. cliquez avec le bouton droit. tapez un nom d'utilisateur Nwtraders\Administrateur et le mot de passe P@ssw0rd. Dans le menu Outil d'administration.msft. Fermez la console DNS. Dans la boîte de dialogue Connexion au serveur DNS. cliquez sur L'utilisateur suivant. développez Zones de recherche directes. développez nwtraders. pointez sur DNS. appuyez sur la touche Maj et maintenez-la enfoncée. 13. puis cliquez sur Exécuter en tant que. 12. Développez London.

Cette leçon présente ces fonctionnalités et explique comment augmenter les fonctionnalités des forêts ou des domaines. ! augmenter le niveau fonctionnel des forêts et des domaines. Objectifs de la leçon À la fin de cette leçon. vous serez à même d'effectuer les tâches suivantes : ! décrire les fonctionnalités des forêts et des domaines . .38 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Leçon : Augmentation des niveaux fonctionnels de la forêt et du domaine ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Les fonctionnalités des forêts et des domaines déterminent quelles sont les fonctionnalités actives d'Active Directory. ! décrire les conditions requises pour augmenter les niveaux fonctionnels des forêts et des domaines .

Définition de la La fonctionnalité de domaine active des fonctionnalités qui auront un impact fonctionnalité de sur le domaine entier. les fonctionnalités Active Directory (groupes de sécurité universels.0 et Windows 2003 Server. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 39 Définition des fonctionnalités des forêts et des domaines ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Sous Windows Server 2003. Toutes les fonctionnalités Active Directory pour le domaine sont disponibles. et sur ce domaine uniquement. Vous pouvez utiliser ce niveau fonctionnel si le domaine contient uniquement des contrôleurs de domaine Windows 2000 et Windows Server 2003. ! Windows 2003 version préliminaire. Vous pouvez augmenter le niveau fonctionnel du domaine vers Windows 2000 mode natif ou Windows Server 2003. Quatre niveaux domaine fonctionnels de domaine sont disponibles : ! Windows 2000 mixte. les fonctionnalités des forêts et des domaines offrent un moyen d'activer les fonctionnalités Active Directory étendues à l'échelle de la forêt ou du domaine dans votre environnement réseau. Vous pouvez l'utiliser uniquement si tous les contrôleurs de domaine du domaine exécutent Windows Server 2003. d'imbrication de groupes ni d'historique SID (Security IDentifier). ! Windows 2000 natif. ! Windows 2003 Server. . par exemple) sont disponibles. Les domaines en mode mixte peuvent contenir des contrôleurs secondaires de domaine Windows NT 4. Selon votre environnement. Il s'agit du niveau fonctionnel le plus élevé pour un domaine. différents niveaux de fonctionnalité de forêt et de fonctionnalité de domaine sont disponibles. imbrication des groupes et d'historique SID. Il s'agit d'un niveau fonctionnel particulier qui prend en charge les contrôleurs de domaine Windows NT 4. Bien que les contrôleurs de domaine exécutant Windows 2000 Server ne connaissent pas la fonctionnalité de domaine. Il s'agit du niveau fonctionnel par défaut.0 mais ne peuvent pas utiliser les fonctionnalités de groupes de sécurité universels.

Important Vous ne pouvez pas réduire le niveau fonctionnel du domaine ou de la forêt après l'avoir augmenté. . Deux niveaux fonctionnels de forêt sont disponibles : Windows 2000 et Windows Server 2003. notamment : ! Les approbations de forêt ! Une réplication accrue Remarque Pour obtenir une liste exhaustive des fonctionnalités activées pour chaque niveau fonctionnel de la forêt ou du domaine.40 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Définition de la La fonctionnalité de forêt active les fonctionnalités à travers tous les domaines fonctionnalité de forêt de votre forêt. Par défaut. dans Aide et Support. Vous pouvez élever le niveau fonctionnel de la forêt vers Windows Server 2003 afin d'activer des fonctionnalités qui ne sont pas disponibles au niveau fonctionnel Windows 2000. reportez-vous à la rubrique « Fonctionnalité des domaines et des forêts ». les forêts opèrent au niveau fonctionnel Windows 2000. en ligne.

Conditions requises pour Pour activer les nouvelles fonctionnalités étendues au domaine. à la forêt Pour ce faire. Conditions requises pour Pour activer les nouvelles fonctionnalités étendues à la forêt. de nouvelles fonctionnalités Active Directory étendues à la forêt et au domaine sont disponibles lorsque certaines conditions sont satisfaites. vous devez être un administrateur d'entreprise. Pour ce faire. tous les activer de nouvelles contrôleurs de domaine de la forêt doivent exécuter Windows Server 2003. et le fonctionnalités étendues niveau fonctionnel de la forêt doit être élevé au niveau Windows Server 2003. tous les activer de nouvelles contrôleurs de domaine du domaine doivent exécuter Windows Server 2003. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 41 Conditions requises pour activer les nouvelles fonctionnalités de Windows Server 2003 ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Outre les fonctionnalités de base d'Active Directory sur les contrôleurs de domaine individuels. . vous devez être un administrateur de domaine. fonctionnalités étendues et le niveau fonctionnel du domaine doit être élevé au niveau Windows au domaine Server 2003.

cliquez avec le bouton droit sur Domaine et approbations Active Directory. Procédure Pour augmenter le niveau fonctionnel de la forêt. puis cliquez sur Augmenter. 3. Dans la boîte de dialogue Sélectionner un niveau fonctionnel du domaine disponible. Remarque Vous devez augmenter le niveau fonctionnel de tous les domaines d'une forêt vers Windows 2000 natif ou supérieur avant de pouvoir augmenter celui de la forêt. cliquez avec le bouton droit sur le nœud du domaine dont vous souhaitez augmenter le niveau fonctionnel. 2. Ouvrez Domaines et approbations Active Directory. . puis cliquez sur Augmenter le niveau fonctionnel de la forêt. du domaine 2. procédez comme suit : d'augmentation du niveau fonctionnel 1. puis cliquez sur Augmenter le niveau fonctionnel du domaine. Dans Domaines et approbations Active Directory. vous activez certaines fonctionnalités (approbations de forêt. Dans la boîte de dialogue Sélectionner un niveau fonctionnel de la forêt disponible. dans l'arborescence de la de la forêt console. procédez comme suit : d'augmentation du niveau fonctionnel 1. Dans l'arborescence de la console. puis cliquez sur Augmenter. sélectionnez Windows Server 2003. sélectionnez le niveau fonctionnel. Vous pouvez augmenter les fonctionnalités de la forêt ou du domaine en utilisant Domaines et approbations Active Directory. Procédure Pour augmenter le niveau fonctionnel du domaine. par exemple) qui ne sont pas disponibles à d'autres niveaux fonctionnels. 42 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Comment augmenter le niveau fonctionnel ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction En augmentant les fonctionnalités de la forêt et du domaine vers Windows Server 2003.

Fermez Domaines et approbations Active Directory. Ouvrez Domaines et approbations Active Directory en tant que Nwtraders\Administrateur en utilisant Exécuter en tant que. Vous allez préparer les approbations entre forêts en augmentant le niveau fonctionnel de votre domaine. vous allez augmenter le niveau fonctionnel du domaine de Windows 2000 mixte vers Windows Server 2003. Application pratique ! Augmenter le niveau fonctionnel de votre contrôleur de domaine de Windows 2000 mixte vers Windows Server 2003 1. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 43 Application pratique : Augmentation du niveau fonctionnel du domaine ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Objectifs Dans cette application pratique. Analysez le niveau fonctionnel de votre domaine. . Ouvrez une session en tant que Nwtraders\Nom_OrdinateurUser avec le mot de passe P@ssw0rd. Scénario Vous venez de créer un domaine enfant en installant Active Directory sur votre ordinateur Windows Server 2003. 2. puis augmentez-le au niveau Windows Server 2003. 4. 3.

vous serez à même d'effectuer les tâches suivantes : ! décrire les types d'approbations que vous pouvez établir entre les domaines . ! vérifier et refuser une approbation. Cette leçon explique les types d'approbations. ! expliquer la finalité des objets Domaine approuvé . de vérification et d'annulation des relations d'approbation. . ! décrire le fonctionnement des approbations entre les forêts . Objectifs de la leçon À la fin de cette leçon. leur fonctionnement et la méthode de création.44 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Leçon : Création de relations d'approbation ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Active Directory propose une sécurité à travers plusieurs domaines et forêts en utilisant des approbations de domaine et de forêt. ! créer une approbation . ! décrire le fonctionnement des approbations dans une forêt .

qui approuve directement le domaine F. les utilisateurs du domaine Q peuvent être authentifiés dans le domaine B. Dans Windows Server 2003. Dans une approbation bidirectionnelle. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 45 Types d'approbations ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Les approbations sont des mécanismes qui permettent à un utilisateur authentifié dans son propre domaine d'accéder aux ressources de tous les domaines approuvés. les utilisateurs du domaine B peuvent être authentifiés dans le domaine Q. Direction de Dans Windows Server 2003. Approbations Dans une approbation transitive. Etant donné que les deux approbations sont transitives. le domaine D approuve directement le domaine E. Une approbation parent/enfant est un bon exemple d'approbation. Les approbations non transitives ne sont pas automatiques et peuvent être configurées. comme l'approbation entre deux domaines de deux forêts distinctes. unidirectionnel sortant et bidirectionnelle. il existe trois directions d'approbation : l'approbation unidirectionnel entrant. . Les approbations transitives sont automatiques. Si vous avez configuré une approbation unidirectionnelle sortante entre le domaine B et le domaine Q. Par exemple. dans un domaine B. une approbation non transitive peut être externe. les deux domaines peuvent authentifier les utilisateurs de l'autre domaine. le domaine D approuve indirectement le domaine F et inversement. la relation d'approbation étendue à un domaine transitives/non est automatiquement étendue à tous les autres domaines qui approuvent ce transitives domaine. Par exemple. il existe deux types d'approbations : transitives et non transitives. vous avez configuré une approbation unidirectionnelle entrante entre le domaine B et le domaine Q. Si.

transitive Forêt Partiellement Activer l'authentification entre les forêts. Par exemple. mais pas vers le haut de la hiérarchie vers le domaine racine de la forêt. les domaines des forêts 1 et 2 approuvent respectivement de manière transitive les domaines des forêts 2 et 3. Les approbations raccourcies sont partiellement transitives car la transitivité de l'approbation est uniquement étendue vers le bas de la hiérarchie à partir du domaine approuvé. au choix de l'utilisateur Le type d'approbation domaine (« realm ». transitive. en anglais) représente un ensemble de principes de sécurité dans un environnement non-Windows faisant l'objet d'une authentification Kerberos. Remarque Pour plus d'informations sur les domaines Kerberos. reportez-vous à la rubrique « Interfonctionnement avec les implémentations RFC-1510 Kerberos » en ligne. . Par exemple.46 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Types d'approbations Windows Server 2003 prend en charge les types d'approbation suivants. Les utilisateurs du domaine E ne peuvent accéder qu'aux ressources du domaine racine de la forêt par l'intermédiaire de l'approbation parent/enfant avec le domaine D et de l'approbation arborescence/racine que le domaine D entretient avec le domaine racine de la forêt. et que la forêt 2 approuve la forêt 3. la forêt 1 n'approuve pas de manière transitive la forêt 3. transitive Externe Non transitive Configurer une relation d'approbation entre un domaine d'une forêt et un domaine d'une autre forêt. Domaine Transitive ou non Approuver un domaine Kerberos externe. dans les catégories transitives et non transitives. Toutefois. dans Aide et Support. Type Transitivité A utiliser si vous souhaitez Raccourcie Partiellement Réduire les sauts de l'authentification Kerberos. si la forêt 1 approuve la forêt 2. s'il existe une approbation raccourcie entre le domaine E et le domaine A. Les approbations de forêt ne sont également que partiellement transitives car elles peuvent uniquement être créées entre deux forêts et ne peuvent pas être implicitement étendues à une troisième forêt. et non vers le haut de la hiérarchie. Active Directory étend l'approbation vers le domaine enfant (le domaine C).

les informations relatives à ces approbations sont stockées dans Active Directory de sorte qu'elles. . Lorsque vous créez une approbation de forêt. Principal Name) . les TDO recherchent le service dans toutes les forêts approuvées. comme sa transitivité ou son type. un TDO est créé et stocké dans le conteneur System du domaine de l'approbation. Les TDO d'approbation de forêt stockent des informations supplémentaires permettant d'identifier la totalité des espaces de noms approuvés à partir de la forêt de son partenaire. Service. Le TDO stocke des informations relatives à l'approbation. Lorsqu'un poste de travail demande un service qui est introuvable dans le domaine ou dans la forêt dont il est membre. entre des forêts ou avec un domaine externe. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 47 Définition des objets du domaine approuvé ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Lorsque vous configurez des approbations entre domaines de la même forêt. ! les suffixes du nom principal du service (SPN. chaque forêt rassemble tous les espaces de noms approuvés dans la forêt de son partenaire et stocke les informations dans un TDO. puissent être extraites au moment voulu. Objets du domaine Chaque relation d'approbation d'un domaine est représentée par un objet connu approuvé sous le nom d'objet Domaine approuvé (TDO. Ces informations contiennent : ! les noms d'arborescence de domaine . A chaque création d'une approbation. Les SPN sont des structures permettant d'identifier l'ordinateur sur lequel est exécuté un service. Trusted Domain Object). ! les espaces de noms de l'identificateur de sécurité (SID) .

Si la ressource ne se trouve pas dans le domaine de l'utilisateur. le protocole Kerberos version 5 suit le chemin d'approbation en utilisant le TDO afin d'obtenir une référence au contrôleur de domaine du domaine cible. Le contrôleur de domaine cible émet un ticket de service pour le service demandé. le approbations permettent protocole d'authentification Kerberos version 5 doit déterminer si le domaine à aux utilisateurs approuver (c'est-à-dire le domaine qui contient la ressource à laquelle tente d'accéder aux d'accéder l'utilisateur) possède une relation d'approbation avec le domaine ressources d'une forêt approuvé (c'est-à-dire le domaine dans lequel l'utilisateur tente d'ouvrir une session). si possible vers le domaine racine de la forêt. Le chemin d'approbation est le chemin d'accès le plus court dans la hiérarchie d'approbation. Les relations d'approbation peuvent être transitives ou non transitives. . Cette tentative de localisation de la ressource se poursuit jusqu'au sommet de la hiérarchie. Lorsqu'un utilisateur du domaine approuvé tente d'accéder aux ressources d'un autre domaine. Comment les Lorsqu'un utilisateur tente d'accéder à une ressource d'un autre domaine. Pour déterminer cette relation. 48 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Comment fonctionnent les approbations dans une forêt ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Les approbations permettent aux utilisateurs d'un domaine d'accéder aux ressources d'un autre domaine. et vers le bas de la hiérarchie tant qu'un contact n'est pas établit avec un contrôleur de domaine du domaine dans lequel se trouve la ressource. le contrôleur de domaine utilise la relation d'approbation avec son parent et renvoie l'ordinateur de l'utilisateur vers un contrôleur de domaine de son domaine parent. son ordinateur contacte d'abord le contrôleur de domaine de son domaine afin d'obtenir l'authentification pour la ressource.

. qui permettent aux utilisateurs d'accéder aux ressources d'une autre forêt.msft.nwtraders.msft tente d'accéder à un dossier partagé de la forêt contoso. S'il en trouve une. ou le nom unique d'un objet point de connexion de service. vous serez à même de résoudre les problèmes susceptibles de survenir avec les approbations entre forêts. il ne trouve pas le SPN. Un SPN peut être le nom DNS d'un hôte ou d'un domaine.msft. Un utilisateur qui a ouvert une session sur le domaine vancouver. L'ordinateur de l'utilisateur contacte le KDC d'un contrôleur de domaine de vancouver. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 49 Comment fonctionnent les approbations entre les forêts ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Windows Server 2003 prend en charge les approbations entre forêts. Lorsqu'un utilisateur tente d'accéder aux ressources d'une forêt approuvée. l'utilisateur peut être authentifié et autorisé à accéder aux ressources. 2.msft. S'il trouve une correspondance. Une fois que les ressources ont été localisées. Il recherche alors dans sa base de données les informations relatives à des approbations de forêt qui ont été établies avec sa forêt. Active Directory doit préalablement rechercher les ressources.msft et demande un ticket de service en utilisant le SPN de l'ordinateur sur lequel résident les ressources.nwtraders. il compare les suffixes de noms répertoriés dans le TDO de l'approbation de forêt par rapport au suffixe du SPN cible. le catalogue global fournit les informations de routage relatives à la manière de localiser les ressources au contrôleur de domaine de vancouver.nwtraders.nwtraders. Etant donné qu'un catalogue global ne contient que des informations relatives à sa propre forêt.msft demande donc au catalogue global de voir si elles se trouvent dans un autre domaine de la forêt.nwtraders. Si vous comprenez bien le fonctionnement de ce processus. Comment s'effectue Ci-dessous une description de la manière dont un ordinateur client l'accès à une ressource Windows 2000 Professional ou Windows XP Professional recherche et accède aux ressources d'une autre forêt dotée de serveurs Windows 2000 Server ou Windows Server 2003. Les ressources ne sont pas localisées dans vancouver. 1. le contrôleur de domaine de vancouver.

7. Les ressources ne se trouvent pas dans le domaine racine de la forêt contoso.msft et négocie un ticket pour l'utilisateur afin de pouvoir accéder aux ressources du domaine seattle. 8.msft envoie une référence à son domaine parent. reportez-vous à la rubrique « Comment fonctionnent les approbations entre les forêts » de la page d'annexe du module 2 sur le CD-ROM du stagiaire.contoso. L'ordinateur de l'utilisateur contacte le KDC sur le contrôleur de domaine de seattle. Le catalogue global trouve une correspondance pour le SPN et l'envoie au contrôleur de domaine.contoso.nwtraders.msft.msft. Le contrôleur de domaine de vancouver. le contrôleur de domaine contacte donc son catalogue global pour trouver le SPN. .msft.msft pour obtenir un ticket de service pour le service demandé. à l'ordinateur de l'utilisateur. l'ordinateur de l'utilisateur contacte un contrôleur de domaine de la forêt contoso. Le contrôleur de domaine envoie une référence à seattle.msft pour obtenir une référence à un contrôleur de domaine du domaine racine de la forêt contoso. Remarque Les approbations entre forêts permettent aux utilisateurs d'une forêt d'accéder aux ressources d'une autre forêt.contoso. Grâce à la référence renvoyée par le contrôleur de domaine de nwtraders. 6. Active Directory protège les approbations entre forêts grâce au filtrage SID. nwtraders.msft à l'ordinateur de l'utilisateur.msft. L'ordinateur de l'utilisateur envoie le ticket de service à l'ordinateur sur lequel se trouvent les ressources partagées. L'ordinateur de l'utilisateur contacte un contrôleur de domaine de nwtraders. qui lit les informations d'identification de sécurité et crée un jeton d'accès permettant à l'utilisateur d'accéder aux ressources. 5. Pour obtenir des informations relatives au filtrage SID. 4. 9.msft.50 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 3.

Vous pouvez également l'utiliser pour créer des approbations raccourcies. cliquez avec le bouton droit sur le nœud de domaine du domaine avec lequel vous souhaitez établir une approbation. Dans l'onglet Approbation. cliquez avec le bouton droit sur le nœud de domaine du domaine que vous souhaitez administrer. . puis cliquez sur Propriétés. 3. • Pour créer une approbation raccourcie. cliquez sur Nouvelle approbation. puis cliquez sur Propriétés. 4. suivez l'une des étapes ci-dessous. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 51 Comment créer des approbations ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Vous pouvez utiliser Domaines et approbations Active Directory pour créer des relations d'approbation entre des forêts ou entre des domaines de la même forêt. Procédure Pour créer une approbation. • Pour créer une approbation de forêt. Dans l'arborescence de la console. puis sur Suivant. puis cliquez sur Propriétés. cliquez avec le bouton droit sur le nœud de domaine du domaine racine de la forêt. cliquez avec le bouton droit sur le nœud de domaine du domaine avec lequel vous souhaitez établir une approbation raccourcie. puis cliquez sur Propriétés. • Pour créer une approbation de domaine. La création de zones secondaires de recherche inversée garantit que le contrôleur de domaine de la forêt dans laquelle vous créez une approbation de forêt est à même de localiser un contrôleur de domaine de l'autre forêt et de définir une relation d'approbation. cliquez sur Suivant. Dans la page d'accueil de l'Assistant Nouvelle approbation. Avant de créer une relation de forêt. 2. Ouvrez Domaines et approbations Active Directory. procédez comme suit : 1. • Pour créer une approbation externe. vous devez créer une zone secondaire de recherche inversée sur le serveur DNS dans chaque forêt qui pointe vers le serveur DNS d'une autre forêt.

• Si vous créez une approbation externe. suivez l'une des étapes suivantes : • Si vous créez une approbation de forêt.52 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 5. tapez le nom DNS du domaine cible. 7. puis sur Suivant. tapez et confirmez le mot de passe de l'approbation. puis cliquez sur Suivant. cliquez sur Non transitif. • Pour créer une approbation unidirectionnelle entrante. cliquez sur Bidirectionnel. puis sur Suivant. cliquez sur Transitif. cliquez sur Approbation de domaine. cliquez sur Sens unique : en entrée. • Pour créer une relation d'approbation avec le domaine et le domaine Kerberos spécifié. • Si vous créez une approbation de domaine. • Si vous créez une approbation de domaine. • Si vous créez une approbation externe. suivez l'une des étapes ci-dessous. passez à l'étape 7. • Si vous créez une approbation raccourcie. cliquez sur Sens unique : en sortie. puis cliquez sur Suivant. Sur la page Transitivité de l'approbation. • Si vous créez une approbation de forêt. • Pour créer une approbation bidirectionnelle. . puis sur Suivant. cliquez sur Approbation de forêt. puis suivez les instructions de l'Assistant. suivez l'une des étapes suivantes : • Pour créer une relation d'approbation avec le domaine et le domaine Kerberos spécifié. puis sur Suivant. • Pour créer une approbation unidirectionnelle sortante. Sur la page Type d'approbation. suivez l'une des étapes ci-dessous. puis suivez les instructions de l'Assistant. tapez le nom DNS du domaine. • Si vous créez une approbation raccourcie. puis cliquez sur Suivant. puis cliquez sur Suivant. Dans la page Direction de l'approbation. cliquez sur Approbation externe. Sur la page Nom d'approbation. tapez le nom DNS de la deuxième forêt. puis sur Suivant. tapez le nom DNS du domaine. puis suivez les instructions de l'Assistant. 6.

4. tapez la commande suivante et appuyez sur ENTRÉE. puis sur Non. Pour vérifier une approbation à l'aide de la commande netdom. cliquez sur l'approbation que vous souhaitez vérifier. dans l'arborescence de la console. NETDOM TRUST nom_domaine_à_approuver /Domain:nom_domaine_approuvé /Verify . Vous révoquez une approbation pour éviter que le chemin d'authentification ne soit utilisé lors d'une authentification. cliquez avec le bouton droit sur l'un des domaines de l'approbation que vous souhaitez vérifier. Dans l'onglet Approbations. conformez- vous à l'étape ci-dessous : ! A l'invite. puis sur Propriétés. sous Domaines approuvés par ce domaine (approbations sortantes) ou Domaine qui approuvent ce domaine (approbations entrantes). ne pas valider l'approbation entrante. Vous pouvez utiliser Domaines et approbations Active Directory ou la commande netdom pour vérifier et révoquer les chemins d'approbation. Procédure de Pour vérifier une approbation à l'aide de Domaines et approbations Active vérification des Directory. Dans Domaines et approbations Active Directory. Reprenez les étapes 1 à 3 afin de vérifier l'approbation de l'autre domaine de la relation. 2. vous devez parfois vérifier et révoquer les chemins d'approbation que vous avez créés. Cliquez sur Valider. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 53 Comment vérifier et révoquer une approbation ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Lorsque vous créez des approbations non transitives. 3. Vous vérifiez une approbation afin de vous assurer qu'elle peut valider les demandes d'authentification provenant d'autres domaines. puis cliquez sur Propriétés. exécutez la procédure suivante : approbations 1.

NETDOM TRUST nom_domaine_à_approuver /Domain:nom_domaine_approuvé /Remove . tapez la commande suivante et appuyez sur ENTRÉE. puis cliquez sur Propriétés. Reprenez les étapes 1 et 2 afin de révoquer l'approbation de l'autre domaine de la relation d'approbation. cliquez sur l'approbation que vous souhaitez refuser. exécutez la procédure suivante : 1. puis sur Supprimer. conformez- vous à l'étape ci-dessous : ! A l'invite. 3. 2. dans l'arborescence de la console. Pour révoquer une approbation à l'aide de la commande netdom. Dans Domaines et approbations Active Directory. cliquez avec le bouton droit sur l'un des domaines de l'approbation que vous souhaitez refuser. Dans l'onglet Approbations.54 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Procédure de révocation Pour révoquer une approbation à l'aide de Domaines et approbations Active des approbations Directory. sous Domaines approuvés par ce domaine (approbations sortantes) ou Domaine qui approuvent ce domaine (approbations entrantes).

Scénario Vous avez créé un domaine enfant dans la forêt nwtraders.msft. Application pratique : Création de ! Créer l'approbation raccourcie l'approbation raccourcie 1. et inversement. Créez une approbation bidirectionnelle vers le domaine de votre partenaire. Utilisez le mot de passe P@ssw0rd de l'approbation et acceptez les sélections par défaut. Ouvrez une session en tant que Nwtraders\Nom_OrdinateurUser avec le mot de passe P@ssw0rd 2. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 55 Application pratique : Création d'une approbation raccourcie ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Objectifs Dans cette application pratique. Vous allez créer l'approbation raccourcie entre votre domaine et celui de votre partenaire. . Ouvrez Domaines et approbations Active Directory en tant que Nwtraders\Administrateur en utilisant Exécuter en tant que. Les responsables des ventes d'un autre domaine doivent accéder aux ressources commerciales de votre domaine. vous allez créer et valider une approbation raccourcie entre votre domaine et un autre domaine de votre forêt. 3. Vous devez définir une approbation raccourcie bidirectionnelle entre les domaines. Instructions Vous allez travailler avec un partenaire que va vous attribuer votre instructeur.

un message de validation s'affiche. 4. 3. cliquez sur Valider. Si vous procédez à un test de validation avant que votre partenaire ait défini une approbation raccourcie bidirectionnelle avec votre domaine. Si l'approbation est valide.56 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Application pratique : ! Valider l'approbation raccourcie Validation de l'approbation raccourcie 1. puis sur OK. puis cliquez sur Propriétés. cliquez sur l'approbation que vous avez créée avec le domaine de votre partenaire. Cliquez sur Non. Sur la page Propriétés. 2. vous allez recevoir un message. ne pas valider l'approbation entrante. puis fermez Domaines et approbations Active Directory. Dans l'onglet Approbation de la page Propriétés. . Fermez toutes les boîtes de dialogue.

Durée approximative de cet atelier : 60 minutes . entre elles. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 57 Atelier A : Implémentation d'Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Objectifs À la fin de cet atelier. Scénario Vous êtes un ingénieur système de la société Northwind Traders. Vous allez fournir l'infrastructure nécessaire à la prise en charge de ces objectifs grâce à plusieurs forêts et approbations. et être cependant en mesure de communiquer avec toutes les filiales. ! des connaissances relatives au fonctionnement des zones intégrées à Active Directory et au système DNS . Les organisations individuelles doivent gérer leur structure Active Directory. ! créer et vérifier des approbations de forêt. le cas échéant. ! créer un domaine racine de la forêt . Connaissances Avant de commencer cet atelier. ! créer un domaine enfant dans une forêt existante . vous devez avoir : préalables ! des connaissances relatives aux composants qui constituent la structure logique et physique d'Active Directory . ! vérifier les niveaux fonctionnels de la forêt et du domaine . Suite à une série de fusions avec plusieurs sociétés de plus petite taille. ! des connaissances relatives aux niveaux fonctionnels de la forêt . ! des connaissances relatives aux approbations de forêt. vous serez à même d’effectuer les tâches suivantes : ! supprimer un domaine enfant d'Active Directory . ! augmenter le niveau fonctionnel d'un domaine et d'une forêt . Northwind Traders a décidé de consolider son infrastructure Active Directory.

Supprimer Active Directory a. Scénario Northwind Traders doit implémenter Active Directory à différents emplacements. vous allez supprimer Active Directory de votre contrôleur de domaine afin de préparer la création d'une structure de forêt et de domaine Active Directory. . de votre contrôleur de b. Vous allez créer un domaine racine de la forêt et un domaine enfant Active Directory grâce aux serveurs présents sur votre site. Mais en premier lieu. Vérifiez que les partages NETLOGON et SYSVOL n'existent plus. b. vous devez rétrograder votre contrôleur de domaine. Tâches Instructions spécifiques 1.58 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Exercice 1 Suppression d'un domaine enfant d'Active Directory Dans cet exercice. Utilisez Exécuter en tant que pour lancer une invite de commande et domaine. Vous allez travailler de manière indépendante en tant qu'administrateur local du bureau auquel vous avez été affecté. serveur. Vérifier qu'Active Directory a. L'équipe de gestion informatique (IT) a demandé aux ingénieurs d'implémenter Active Directory en utilisant des forêts séparées. 2. Ouvrez une session an tant que Nwtraders\Nom_OrdinateurUser. exécutez dcpromo en tant que Nwtraders\Administrateur. Ouvrez une session en tant qu'Administrateur avec le mot de passe a été supprimé de votre P@ssw0rd.

Nwtraders3.msft Brisbane Corp2.msft Bonn Corp3.msft Lima Nwtraders4.msft Casablanca Nwtraders6. vous devez coordonner vos efforts avec la filiale de votre pays.msft Auckland Nwtraders8. L'une des filiales va créer le domaine racine de la forêt et l'autre un domaine enfant dans la nouvelle forêt.Nwtraders4.msft Acapulco Nwtraders7.Nwtraders9.msft .msft Caracas Nwtraders10. Scénario Vous créez une forêt Active Directory qui va éventuellement être fusionnée dans un environnement administratif polyvalent.Nwtraders2.msft Miami Corp7. vous allez travailler avec un partenaire afin de créer votre forêt Active Directory. Manila Nwtraders11.Nwtraders6.msft Nairobi Corp12. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 59 Exercice 2 Création d'un domaine racine de la forêt Active Directory Dans cet exercice.msft Singapore Corp5. Nom de l'ordinateur Domaine racine de la forêt Domaine enfant Vancouver Nwtraders1.Nwtraders8. Votre instructeur va vous attribuer l'un des noms de domaine de la liste ci-dessous.Ntraders10. Nwtraders12.msft.msft Perth Nwtraders2.msft Khartoum Nwtraders12. En tant que filiale régionale de Northwind Traders. Vous devez coordonner vos efforts avec l'autre filiale pour être sûr que la procédure appropriée est réalisée au moment opportun.Nwtraders1.msft Santiago Corp4.msft Montevideo Corp10.msft Tokyo Corp11. puisse rejoindre la forêt.msft Tunis Corp6.msft Moscow Corp9.msft Suva Corp8.msft Lisbon Nwtraders3. Le domaine racine de la forêt doit être créé avant que le domaine enfant.Nwtraders5. Nwtraders11.Nwtraders7.msft Bangalore Nwtraders5.msft Stockholm Nwtraders9.msft Denver Corp1. L'un de vous deux va créer le domaine racine de la forêt et l'autre un domaine enfant.

Le service de résolution DNS du contrôleur de domaine racine doit pointer sur London. d'utilisateurs à des fins de connexion. la forêt.60 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Tâches Instructions spécifiques 1. . Créer un domaine racine de a. 3. Vous devez installer le système DNS en utilisant l'Assistant Installation de Active Directory. Vérifier la création de la nouvelle forêt. 2. Ouvrez une session sur votre serveur en tant qu'Administrateur avec le mot de passe P@ssw0rd si vous ne l'avez pas encore fait. Créer deux comptes " Créez Nom_OrdinateurUser pour chaque ordinateur de la forêt. Reportez-vous au tableau pour vos attributions de domaine. b.

" Ouvrez une session sur votre ordinateur local en tant qu'Administrateur avec le mot de passe P@ssw0rd Le service de résolution DNS du contrôleur du domaine enfant doit pointer sur le contrôleur du domaine racine de la forêt. . Ne suivez pas cette procédure tant que vous n'avez pas vérifié. que le domaine racine de la forêt a été configuré et qu'il fonctionne. Tâches Instructions spécifiques 1. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 61 Exercice 3 Création d'un domaine enfant Active Directory Dans cet exercice. Créer un domaine enfant. Vérifier l'installation du nouveau domaine enfant. vous allez terminer la création de la forêt Active Directory en créant un domaine enfant à l'intérieur de la racine de la forêt. Scénario En tant qu'entreprise sœur de la racine de la forêt nouvellement créée. vous allez terminer la forêt en créant le premier domaine enfant. 2. avec votre partenaire.

. (où x est le numéro du domaine que votre instructeur vous a attribué) avec le mot de passe P@ssw0rd. Scénario Northwind Traders prépare son environnement d'approbations entre forêts. Augmenter le niveau " Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser fonctionnel du domaine. vous allez augmenter les niveaux fonctionnels du domaine et de la forêt vers Windows Server 2003. Avant d'implémenter des approbations entre forêts. le niveau fonctionnel des domaines et des forêts doit être augmenté afin de prendre en charge la fonctionnalité d'approbation de forêt. que l'équipe informatique va implémenter ultérieurement. 2. Tâches Instructions spécifiques 1.62 Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory Exercice 4 Augmentation du niveau fonctionnel du domaine et de la forêt Dans cet exercice. la forêt. Augmenter le niveau " Vous devez augmenter le niveau en utilisant uniquement un membre de fonctionnel de la forêt.

. vous allez créer l'approbation requise avec laquelle activer les communications et l'accès aux ressources entre votre forêt et la forêt de la société. Pour satisfaire ces conditions. Tâches Instructions spécifiques 1. Vous devez prendre en charge l'augmentation des conditions requises en matière de connectivité entre les différentes organisations. Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory 63 Exercice 5 Création d'une approbation de forêt Dans cette exercice. Scénario Le conglomérat Northwind Traders se développe rapidement. DNS. vous allez créer une approbation de forêt bidirectionnelle avec les forêts nwtraders. Configurer la redirection " Effectuez cette tâche sur le contrôleur du domaine racine de la forêt. Créer une approbation entre " Effectuez cette tâche sur le contrôleur du domaine enfant. la forêt de la classe et la vôtre.msft. puis vérifier que l'approbation a été créée. 2.

THIS PAGE INTENTIONALLY LEFT BLANK .

Module 3 : Implémentation de la structure d'une unité d'organisation Table des matières Vue d'ensemble 1 Leçon : Création et gestion d'unités d'organisation 2 Leçon : Délégation du contrôle administratif des unités d'organisation 14 Leçon : Planification d'une stratégie d'unité d'organisation 25 Atelier A : Implémentation de la structure d'une unité d'organisation 36 .

les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés. sans la permission expresse et écrite de Microsoft Corporation. photocopie. MS-DOS.Les informations contenues dans ce document. la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets. pourront faire l'objet de modifications sans préavis. aux États-Unis d'Amérique et/ou dans d'autres pays. Active Directory. Sauf mention contraire. Visual C++ et Windows Media sont soit des marques de Microsoft Corporation. adresses de messagerie. mécanique. lieux et événements existants ou ayant existé serait purement fortuite. stockée ou introduite dans un système d'extraction. de dépôts de brevets en cours. Sans limitation des droits d'auteur. produits. de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Tous droits réservés. Visio. Windows NT. les noms de domaines. les produits. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son pays.  2003 Microsoft Corporation. . les sociétés. droits d'auteur ou autres droits de propriété intellectuelle. marques. Les produits mentionnés dans ce document peuvent faire l'objet de brevets. noms de domaines. Les autres noms de produit et de société mentionnés dans ce document sont des marques de leurs propriétaires respectifs. Windows. les personnes. Visual Basic. PowerPoint. logos. notamment les adresses URL et les références à des sites Web Internet. Active X. soit des marques déposées de Microsoft Corporation. les logos. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft. ou transmise à quelque fin ou par quelque moyen que ce soit (électronique. MSDN. enregistrement ou autre). personnes. les adresses de messagerie. aucune partie de ce manuel ne peut être reproduite. Microsoft. de marques.

Module 3 : Implémentation de la structure d'une unité d'organisation iii Notes de l'instructeur Présentation : Ce module explique comment créer et gérer des unités d'organisation. les stagiaires seront à même d'effectuer les tâches suivantes : ! créer et gérer des unités d'organisation . anticiper les questions que les stagiaires sont susceptibles de poser et préparer des réponses appropriées pour chacune de ces questions . vous devez effectuer les tâches suivantes : ! lire tous les documents de cours relatifs à ce module . déléguer 90 minutes des tâches d'administration courantes et planifier l'implémentation de la structure d'une unité d'organisation. ! déléguer le contrôle d'une unité d'organisation . ! réaliser l'atelier . ! planifier la stratégie d'une unité d'organisation.ppt. Atelier : 45 minutes Objectifs À la fin de ce module. y compris Dsadd. Dsrm et Ldifde. Si vous utilisez la Visionneuse PowerPoint ou une version antérieure de PowerPoint. tout au long du module. ! lire les rubriques dans Aide et Support de Microsoft Windows Server™ 2003 : à propos des outils de ligne de commande du service d'annuaire. anticiper autant que possible les réponses que les stagiaires sont susceptibles de donner et préparer des réponses appropriées en conséquence . Préparation Pour préparer ce module. Documents de cours Pour animer ce module. vous devez disposer du fichier Microsoft® PowerPoint® 2194A_03. . il se peut que toutes les fonctionnalités des diapositives ne s'affichent pas correctement. Dsmod. Important Il est recommandé d'utiliser PowerPoint 2002 ou une version ultérieure pour afficher les diapositives de ce cours. ! étudier les applications pratiques et les questions d'évaluation ainsi que les suggestions de réponses fournies .

expliquez qu'une application pratique est une occasion pour les stagiaires d'effectuer les tâches décrites dans la leçon. Vous pouvez les présenter en introduction pour aider les stagiaires à identifier les difficultés ou en conclusion pour valider leurs connaissances. Procédures. Expliquez aux stagiaires de quelle manière les procédures. Les stagiaires n'ont pas besoin de ces informations pour exécuter les tâches présentées dans ce module. Remarque Certaines rubriques font référence à des informations complémentaires situées dans les annexes. Un module comprend au pratiques et ateliers minimum deux leçons. Une fois que les stagiaires ont terminé les leçons. indiquez ces annexes aux stagiaires pour obtenir des informations complémentaires.iv Module 3 : Implémentation de la structure d'une unité d'organisation Comment animer ce module Cette section contient des informations qui ont pour but de vous aider à animer ce module. Durant la classe. les applications applications pratiques et les ateliers ont été conçus pour ce cours. le module enchaîne sur un atelier. Envisagez de les utiliser pour consolider leurs connaissances à la fin de la journée. La plupart des leçons comprennent des procédures et une application pratique. Important Ce module inclut des éléments requis pour chaque leçon. Ils se servent des étapes décrites pour effectuer l'application pratique à la fin de chaque leçon. Vous pouvez aussi les utiliser en début de journée pour passer en revue les éléments abordés la veille. passez en revue ces informations dans la page des annexes sur le CD-ROM du stagiaire. ou demander aux stagiaires de préparer les réponses de leur côté. Les stagiaires n'effectuent pas les tâches en même temps que vous. Procédures Les procédures vous permettent de montrer comment effectuer une tâche. Applications pratiques Après avoir présenté le contenu d'une rubrique et les procédures de la leçon. situés sur le CD-ROM du stagiaire. Laissez 10 minutes aux stagiaires pour préparer leurs réponses aux questions d'évaluation. . Avant d'animer la classe. Vous pouvez choisir de parcourir ensemble les questions et les réponses.

Dsmod et Dsrm. La colonne de gauche indique la tâche à effectuer (par exemple. l'atelier permet aux stagiaires de mettre en pratique toutes les tâches abordées dans l'ensemble du module. Application pratique À la fin de la leçon. Comment personnaliser le contrôle administratif délégué et Comment vérifier la délégation d'un contrôle administratif. Utilisez ces rubriques pour révision. créer un groupe). Application pratique À la fin de la leçon. En utilisant des scénarios correspondant à l'environnement professionnel du stagiaire. l'atelier propose des instructions présentées sous forme de deux colonnes. Après avoir montré comment utiliser Dsadd. ils disposent d'un corrigé de chacun des ateliers sur le CD-ROM du stagiaire. demandez aux stagiaires de déléguer le contrôle de tâches d'administration courantes pour diverses unités d'organisation. Module 3 : Implémentation de la structure d'une unité d'organisation v Ateliers À la fin de chaque module. montrez comment effectuer ces tâches. La colonne de droite contient des instructions spécifiques pour effectuer la tâche (par exemple : à partir du composant Utilisateurs et ordinateurs Active Directory. Leçon : Délégation du contrôle administratif des unités d'organisation Cette leçon traite des connaissances et des compétences requises pour déléguer des tâches d'administration dans Active Directory. indiquez aux stagiaires qu'ils trouveront en annexe des exemples supplémentaires d'utilisation des outils de service d'annuaire pour gérer des unités d'organisation. Les rubriques Qu'est-ce que la délégation de privilèges administratifs ? et Tâches d'administration pour unités d'organisation contiennent des informations générales. Ils peuvent également se reporter aux applications pratiques et aux procédures du module. Indiquez aux stagiaires les annexes à consulter pour plus d'informations sur l'utilisation des quotas. Si les stagiaires ont besoin d'instructions détaillées pour mener à bien l'atelier. Lorsque vous présenterez les rubriques Comment déléguer le contrôle administratif. Lorsque vous présentez la rubrique Comment créer et gérer des unités d'organisation à l'aide de l'outil Ldifde. . demandez aux stagiaires de créer des unités d'organisation dans le domaine que leur ordinateur héberge. Leçon : Création et gestion d'unités d'organisation Cette leçon traite des connaissances et des compétences requises pour créer et gérer des unités d'organisation. double-cliquez sur le nœud du domaine). La rubrique Méthodes de création et de gestion des unités d'organisation décrit plusieurs outils de ligne de commande présentés dans le Module 1. Comparez les outils lorsque vous présentez la rubrique. montrez comment créer un fichier d'entrée que vous utiliserez ensuite pour créer une unité d'organisation.

du cours 2194. Lorsque vous présentez la rubrique Processus de planification d'une unité d'organisation. Les stagiaires qui n'ont pas terminé l'application pratique de planification pourraient éprouver des difficultés à réaliser le travail en atelier. Planification. Configuration de l'atelier La liste suivante décrit la configuration requise pour l'atelier de ce module. .vi Module 3 : Implémentation de la structure d'une unité d'organisation Leçon : Planification d'une stratégie d'unité d'organisation Cette leçon traite des connaissances et des compétences requises pour planifier la stratégie d'une unité d'organisation en fonction des besoins d'une organisation. Atelier A : Implémentation de la structure d'une unité d'organisation Avant de commencer l'atelier. effectuez les ateliers du Module 2. Configuration requise 1 Les ateliers de ce module exigent que l'ordinateur de chaque stagiaire soit configuré comme contrôleur de domaine dans sa propre forêt. Il s'agit d'une tâche complexe et il suffit que les stagiaires aient conscience que cette tâche doit être effectuée. Pour préparer les ordinateurs des stagiaires afin qu'ils remplissent cette condition. Ils implémenteront cette structure dans le cadre de l'atelier. demandez aux stagiaires de planifier la structure d'une unité d'organisation pour Northwind Traders. indiquez aux stagiaires combien il est important de documenter l'exécution d'une administration Active Directory avant de planifier la structure d'une unité d'organisation. vérifiez que les stagiaires ont terminé l'application pratique Planification de la structure d'une unité d'organisation. ne donnez pas de détails sur la manière de documenter la structure d'une organisation. À la fin de l'atelier. il faut davantage de temps et d'efforts pour planifier une structure organisationnelle qui simplifie l'administration d'Active Directory. « Implémentation d'une structure de forêt et de domaine Active Directory ». Application pratique À la fin de la leçon. Faites remarquer que bien qu'il soit facile de planifier la structure d'une unité d'organisation en se basant uniquement sur des considérations géographiques ou la structure de l'entreprise. implémentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003. Affectez un numéro à chacun des groupes ainsi formés. Les stagiaires travailleront par deux. Ils implémenteront cette structure dans le cadre de l'atelier.

remplacez Nom_Ordinateur par le nom de l'ordinateur de stagiaire sur lequel les unités d'organisation sont créées. Pour préparer les ordinateurs des stagiaires à remplir cette condition. ! Elle crée les unités d'organisation suivantes dans le domaine de chaque stagiaire : • Nom_Ordinateur • Accounting • Research ! Elle crée les groupes suivants dans l'unité d'organisation relative au service informatique IT (Information Technology) : • DL AccountingAdmins • DL ResearchAdmins ! Chaque groupe répertorié ci-dessus se voit déléguer le contrôle de l'unité d'organisation associée au groupe. vérifiez que les stagiaires ont effectué l'application pratique « Création d'unités d'organisation » de ce module. Module 3 : Implémentation de la structure d'une unité d'organisation vii En outre. Résultats de l'atelier L'exécution de l'atelier de ce module induit les changements de configuration ci-dessous. . cet atelier requiert la structure d'unité d'organisation suivante : ! Nom_Ordinateur • IT • Sales • HR Remarque Sur l'ordinateur de chaque stagiaire.

.

Objectifs À la fin de ce module. . Module 3 : Implémentation de la structure d'une unité d'organisation 1 Vue d'ensemble ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Ce module explique comment créer et gérer des unités d'organisation. vous serez à même d'effectuer les tâches suivantes : ! créer et gérer des unités d'organisation . ! déléguer le contrôle d'une unité d'organisation . déléguer des tâches d'administration courantes et planifier l'implémentation de la structure d'une unité d'organisation. ! planifier la stratégie d'une unité d'organisation.

! gérer des unités d'organisation à l'aide d'outils de ligne de commande de services d'annuaire . ! décrire les méthodes de création d'unités d'organisation . vous serez à même d'effectuer les tâches suivantes : ! décrire le cycle de vie d'unités d'organisation . ! gérer des unités d'organisation à l'aide de l'outil de ligne de commande Ldifde .2 Module 3 : Implémentation de la structure d'une unité d'organisation Leçon : Création et gestion d'unités d'organisation ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Cette leçon présente les outils de ligne de commande et les composants logiciels enfichables MMC (Microsoft Management Console) permettant la création et la gestion d'unités d'organisation. . modifier et supprimer des unités d'organisation. ! créer des unités d'organisation à partir de l'environnement d'exécution de scripts Windows. Elle apporte également les compétences requises pour créer. Objectifs de la leçon À la fin de cette leçon.

Module 3 : Implémentation de la structure d'une unité d'organisation 3 Présentation de la gestion des unités d'organisation ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Les unités d'organisation sont les conteneurs du service d'annuaire Active Directory® que vous utilisez pour placer des utilisateurs. Après avoir créé la structure des unités d'organisation dans Active Directory. vous pouvez renommer. occupent de l'espace dans le contrôleur de domaine qui héberge Active Directory. Vous créez au cours de cette phase la structure des unités d'organisation en fonction de leur plan. vous devez les supprimer. Lorsque des unités d'organisation ne sont plus requises. Cycle de vie d'unités Le cycle de vie des unités d'organisation inclut quatre phases : d'organisation ! Planification. Remarque Pour plus d'informations sur les unités d'organisation. Vous planifiez au cours de cette phase la structure des unités d'organisation. Vous déterminez quelles unités d'organisation vous allez créer et comment vous en déléguerez le contrôle administratif. Administration d'un environnement Microsoft Windows Server 2003. utiliser les unités d'organisation pour appliquer automatiquement des stratégies de groupe définissant des paramètres par défaut pour les comptes d'ordinateurs et d'utilisateurs dans Active Directory. des groupes. par exemple. Vous pouvez. ! Déploiement. L'utilisation d'unités d'organisation vous permet de créer des conteneurs dans un domaine représentant les structures hiérarchique et logique de votre organisation. des ordinateurs et d'autres unités d'organisation. déplacer ou modifier les unités créées en fonction des besoins permanents de l'organisation. Dans Active Directory. « Administration des accès aux objets dans les unités d'organisation » du cours 2144. tous les objets. y compris les unités d'organisation. . ! Maintenance. reportez-vous au Module 7. Vous pouvez ensuite gérer la configuration et l'utilisation de comptes et de ressources en fonction de votre modèle d'organisation. ! Suppression.

modifier et supprimer des unités d'organisation. Dsmod et Dsrm. ou lorsque vous souhaitez gérer des unités de manière interactive. L'utilisation de ces outils avec le paramètre « ou » vous permet d'ajouter. de modifier et de supprimer des unités d'organisation dans Active Directory. Ce composant logiciel enfichable MMC permet de créer.4 Module 3 : Implémentation de la structure d'une unité d'organisation Méthodes de création et de gestion des unités d'organisation ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Microsoft® Windows Server™ 2003 fournit plusieurs composants logiciels enfichables et outils de ligne de commande vous permettant de créer des unités d'organisation et de gérer la configuration et l'utilisation de comptes et de ressources dans le modèle de votre organisation. ! Outils de service d'annuaire. afin de gérer des unités d'organisation. Vous pouvez également utiliser des scripts et des fichiers de commandes avec ces outils pour gérer des services d'annuaire. Cet ensemble d'outils de ligne de commande permet de gérer des objets et d'effectuer des requêtes d'informations dans Active Directory. Utilisez ce composant logiciel enfichable lorsque vous n'avez que quelques unités d'organisation à gérer. Méthodes de création et La liste suivante décrit quelques composants logiciels enfichables et outils de gestion des unités de ligne de commande vous permettant de créer et de gérer des unités d'organisation d'organisation : ! Utilisateurs et ordinateurs Active Directory. Les outils de ligne de commande incluent Dsadd. Vous pouvez également utiliser l'environnement d'exécution de scripts pour les plates-formes Microsoft Windows. .

Cet outil de ligne de commande permet de créer des unités d'organisation et d'autres objets Active Directory. Ces informations sont stockées sous la forme d'une série d'enregistrements. Module 3 : Implémentation de la structure d'une unité d'organisation 5 ! Ldifde (Lightweight Directory Access Protocol Data Interchange Format Directory Exchange). . Vous pouvez créer des unités d'organisation à l'aide d'applications Windows. le cas échéant. L'utilisation de scripts vous permet de créer des unités d'organisation dans le cadre d'une configuration d'application. ! Environnement d'exécution de scripts Windows. Ldifde utilise un fichier d'entrée contenant des informations sur les objets à ajouter. ou à l'aide de scripts Windows avec les composants fournis par les interfaces ADSI (Active Directory Service Interfaces). séparés par une ligne vide dans un fichier d'entrée. modifier ou supprimer.

! Domaine spécifie le domaine auquel se connecter. ! Description spécifie la description de l'unité d'organisation que vous désirez ajouter. Par exemple.dc=nwtraders. Dsmod et Dsrm du service d'annuaire vous permettent de créer et de gérer des unités d'organisation à partir de l'invite de commande. l'ordinateur est connecté au contrôleur de domaine du domaine sur lequel il a ouvert une session. le nom unique serait ou=supporttechnique. .6 Module 3 : Implémentation de la structure d'une unité d'organisation Comment créer et gérer des unités d'organisation à l'aide d'outils de service d'annuaire ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Les outils de ligne de commande Dsadd. Par défaut.dc=msft. Procédure de création Pour créer une unité d'organisation. Vous pouvez également utiliser ces commandes dans des scripts et des fichiers de commandes.msft. exécutez la commande Dsadd suivante à d'une unité partir de l'invite de commande : d'organisation dsadd ou NU_Unité_Organisation -desc Description -d Domaine -u Nom_Utilisateur -p Mot_de_passe Où : ! NU_Unité_Organisation spécifie le nom unique de l'unité d'organisation que vous désirez ajouter. pour ajouter l'unité SupportTechnique au domaine nwtraders.

dans la page des annexes sur le CD-ROM du stagiaire. exécutez la commande modification d'une unité suivante : d'organisation dsmod ou NU_Unité_Organisation -desc Description -d Domaine -u Nom_Utilisateur -p Mot_de_passe Les paramètres qui sont transmis à la commande dsmod sont les mêmes que ceux de la commande dsadd. un mot de passe vous sera demandé. . Vous pouvez spécifier un nom d'utilisateur selon l'un des formats suivants : • nom d'utilisateur (par exemple. Si vous tapez * (astérisque). Dsmod et Dsrm. Pour supprimer une unité d'organisation. La nouvelle description doit être transmise comme paramètre desc. seul l'objet de base spécifié est supprimé. Pour obtenir des exemples supplémentaires d'utilisation de ces outils de ligne de commande du service d'annuaire. Module 3 : Implémentation de la structure d'une unité d'organisation 7 ! Nom_Utilisateur spécifie le nom d'utilisateur permettant de se connecter à un serveur distant. Le paramètre Exclude ne peut être spécifié qu'avec le paramètre subtree. User Principal Name) (par exemple. Spécifie de supprimer l'objet ainsi que tous les objets contenus dans la sous-arborescence située sous cet objet. le nom de l'utilisateur connecté est utilisé. Linda@widgets. Vous pouvez utiliser les paramètres supplémentaires suivants avec dsrm : ! subtree.com) ! Mot_de_Passe est le mot de passe à utiliser pour ouvrir une session sur un serveur distant. Remarque Pour plus d'informations sur l'utilisation des outils de ligne de commande Dsadd. Par défaut. Procédure de Vous devez supprimer d'Active Directory les unités d'organisation qui ne sont suppression d'une unité plus utilisées. Spécifie de ne pas supprimer l'objet de base fourni par NU_Unité_Organisation lorsque vous supprimez la sous-arborescence située au-dessous. Procédure de Pour modifier la description d'une unité d'organisation.microsoft. reportez- vous à la rubrique « Comment créer et gérer des unités d'organisation à l'aide d'outils de service d'annuaire » du Module 3. ! Exclude. reportez-vous au Centre d'aide et de support de Windows Server 2003. Linda) • domaine\nom d'utilisateur (par exemple. widgets\Linda) • nom d'utilisateur principal (UPN. exécutez la commande d'organisation suivante : dsrm ou NU_Unité_Organisation -d Domaine -u Nom_Utilisateur -p Mot_de_passe Les paramètres qui sont transmis à la commande dsrm sont les mêmes que ceux de la commande dsadd. Par défaut.

Ldifde ajoute un objet d'unité d'organisation appelé ExempleOU au domaine nwtraders.DC=nwtraders. vous exécuterez la commande Ldifde. . Vous pouvez également utiliser Ldifde pour modifier et supprimer des unités d'organisation. Créez un fichier d'entrée. Vous pouvez ajouter plusieurs unités d'organisation en ajoutant d'autres entrées comme celle ci-dessus. Après avoir créé ce fichier. L'exemple suivant montre le format du fichier : dn: OU=ExempleOU. sauf la première.msft.8 Module 3 : Implémentation de la structure d'une unité d'organisation Comment créer et gérer des unités d'organisation à l'aide de l'outil Ldifde ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction L'outil de ligne de commande Ldifde vous permet de créer des unités d'organisation en mode Batch et de définir des hiérarchies d'unités d'organisation. Dans l'exemple précédent. ObjectClass spécifie la classe de l'objet Active Directory. Procédure La première étape à exécuter pour utiliser cet outil consiste à créer le fichier d'entrée à utiliser avec Ldifde. Chaque entrée dn doit être précédée d'une ligne vide. Procédez comme suit pour créer des unités d'organisation à l'aide de l'outil de ligne de commande Ldifde : 1.DC=msft changetype: add objectClass: organizationalUnit Changetype détermine le type d'opération effectuée sur l'objet Active Directory.

ldf est le fichier d'entrée. Exécutez Ldifde pour créer. Si celui-ci n'est pas spécifié. modifier ou supprimer des unités d'organisation en entrant la commande suivante : C:###BOT_TEXT###gt;ldifde -i –k -f OUList. Module 3 : Implémentation de la structure d'une unité d'organisation 9 2. le mode par défaut est exportation. reportez-vous à Aide et support de Windows Server 2003. • -f spécifie le nom du fichier d'importation ou d'exportation. • -b spécifie le nom d'utilisateur. . • -k permet de ne pas tenir compte des erreurs durant une opération d'importation et de poursuivre le traitement. • OUList.ldf -b Nom_Utilisateur Domaine Mot_de_Passe Où : • -i spécifie le mode d'importation. Remarque Pour plus d'informations sur Ldifde. le nom de domaine et le mot de passe associés au compte d'utilisateur qui sera utilisé pour exécuter l'opération d'importation ou d'exportation.

Si vous apportez des modifications à Active Directory. Procédure Procédez comme suit pour créer une unité d'organisation à l'aide de l'environnement d'exécution de scripts Windows : 1. nwtraders. Insérez dans ce fichier les commandes figurant ci-après sous les points a. sinon la commande échouera. comme extraire des informations concernant des objets. Dans cet exemple. Vous devez tout d'abord vous connecter à Active Directory.dc=msft") Important Dans l'exemple ci-dessus.vbs. b et c. créez un fichier texte portant l'extension . Application Programming Interface) que vous utilisez à partir de l'environnement d'exécution de scripts Windows pour automatiser l'administration d'Active Directory. et ajouter. LDAP doit être en majuscules. modifier ou supprimer des objets. Vous pouvez ensuite effectuer des tâches. ADSI utilise le protocole LDAP (Lightweight Directory Access Protocol) pour communiquer avec Active Directory. Commencez par vous connecter au domaine dans lequel vous souhaitez créer l'unité d'organisation.10 Module 3 : Implémentation de la structure d'une unité d'organisation Comment créer des unités d'organisation à l'aide de l'environnement d'exécution de scripts Windows ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction ADSI est une interface de programmation d'applications (API.msft est le domaine dans lequel vous créez l'unité d'organisation. vous devez les enregistrer dans la base de données Active Directory afin qu'elles soient conservées. a. puis enregistrez le fichier. . À l'aide du Bloc-notes. comme indiqué dans l'exemple suivant : Set objDom = GetObject("LDAP://dc=nwtraders. Toutes les opérations ADSI que vous effectuez sur Active Directory respectent la même procédure.

comme indiqué dans l'exemple suivant : Set objOU = objDom. Pour exécuter les commandes dans le fichier . Microsoft Visual Basic Scripting Edition and Microsoft Windows Script Host Essentials (en anglais) . consultez le site Microsoft Technet Script Center à l'adresse suivante : http://www.asp Consultez également le cours 2433. comme indiqué dans l'exemple suivant : objOU. tapez le texte suivant à l'invite de commande : wscript nom_fichier_script.microsoft.asp?url=/technet/ scriptcenter/default. c. NouvelleOU est le nom de l'unité d'organisation que vous créez. Pour terminer.vbs Remarque Pour plus d'informations sur la création de scripts d'administration à l'aide de l'environnement d'exécution de scripts Windows.com/technet/treeview/default. "ou=NouvelleOU") Dans cet exemple. Créez ensuite l'unité d'organisation en spécifiant OrganizationalUnit comme type d'objet Active Directory à créer et le nom de l'unité d'organisation.SetInfo 2.vbs.Create("OrganizationalUnit". enregistrez ces informations dans la base de données Active Directory. Module 3 : Implémentation de la structure d'une unité d'organisation 11 b.

à l'aide de l'outil de ligne de commande Ldifde. La vôtre contient trois services : Informatique. vous allez créer des unités d'organisation dans le domaine hébergé par votre ordinateur de stagiaire. vous devez créer trois unités d'organisation pour ces services. . En tant qu'administrateur du réseau de votre bureau. Scénario Northwind Traders possède plusieurs succursales. Human Resources). Ventes (Sales) et Ressources humaines (HR.12 Module 3 : Implémentation de la structure d'une unité d'organisation Application pratique : Création d'unités d'organisation ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Objectif Dans cette application pratique.

. Utilisez le Bloc-notes pour créer un fichier d'entrée pour les unités d'organisation représentées dans l'illustration suivante.txt). Ouvrez une session sous le nom Nwtradersx\Nom_OrdinateurUser avec le mot de passe P@ssw0rd.DC=msft changetype: add objectClass: organizationalUnit dn: OU=Sales.DC=nwtraders1. votre_ville IT Sales HR Exemple de fichier Bloc-notes pour l'exemple (sample.DC=nwtraders1. 2.OU=Vancouver.OU=Vancouver. Créez les nouvelles unités d'organisation à l'aide de l'outil de ligne de commande Ldifde. dn: OU=Vancouver. Module 3 : Implémentation de la structure d'une unité d'organisation 13 Application pratique ! Pour créer des unités d'organisation à l'aide de l'outil de ligne de commande Ldifde 1.DC=nwtraders1.DC=msft changetype: add objectClass: organizationalUnit dn: OU=HR.DC=msft changetype: add objectClass: organizationalUnit dn: OU=IT.OU=Vancouver.DC=msft changetype: add objectClass: organizationalUnit 3.DC=nwtraders1.

Objectifs de la leçon À la fin de cette leçon. les stagiaires seront à même d'effectuer les tâches suivantes : ! décrire les conditions sous lesquelles le contrôle administratif d'une unité d'organisation peut être délégué . ! déléguer le contrôle administratif d'une unité d'organisation à l'aide de l'Assistant Délégation de Contrôle . . ! décrire des tâches d'administration courantes liées aux unités d'organisation . ! personnaliser le contrôle administratif délégué en créant une tâche personnalisée à déléguer . les tâches d'administration que vous pouvez déléguer. ! vérifier les privilèges administratifs qui ont été délégués.14 Module 3 : Implémentation de la structure d'une unité d'organisation Leçon : Délégation du contrôle administratif des unités d'organisation ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Cette leçon explique le rôle de la délégation de privilèges administratifs. comment les déléguer et comment vérifier que vous avez délégué les privilèges requis pour effectuer ces tâches.

Vous pouvez éliminer le besoin de disposer de plusieurs comptes administrateur ayant une autorité étendue. Module 3 : Implémentation de la structure d'une unité d'organisation 15 Qu'est-ce que la délégation de privilèges administratifs ? ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction La raison majeure motivant la création d'unités d'organisation est de distribuer les tâches d'administration dans toute l'organisation en déléguant le contrôle administratif à différents administrateurs. L'autorité déléguée au niveau du site couvrira probablement plusieurs domaines ou. peut ne pas inclure de cibles dans le domaine. mais néanmoins utiliser le groupe prédéfini Admins du domaine pour gérer tout le domaine. sur un domaine entier par exemple. La capacité à établir l'accès à des unités d'organisation individuelles est une fonctionnalité de sécurité importante dans Active Directory . L'autorité déléguée au niveau du domaine affectera tous les objets qui s'y trouvent. L'autorité déléguée au niveau de l'unité d'organisation peut affecter cet objet et tous ses objets enfants. ! tout ou partie de la gestion des données de la base de données Active Directory ou des ordinateurs membres rattachés à l'annuaire (autonomie de la gestion des données). vous pouvez contrôler l'accès jusqu'au niveau le plus bas d'une organisation sans devoir créer de nombreux domaines Active Directory. à l'inverse. pour isoler les services ou les données dans une organisation. ou uniquement l'objet lui-même. Pourquoi déléguer Vous déléguez le contrôle administratif afin de permettre l'autonomie l'administration ? administrative des organisations au niveau des services et des données ou. L'autonomie correspond à la possibilité qu'ont les administrateurs d'une organisation de prendre en charge de manière indépendante : ! tout ou partie de la gestion des services (autonomie de la gestion des services) . . au contraire. La délégation est particulièrement importante lorsque vous développez un modèle d'administration décentralisé. Qu'est-ce que la La délégation de l'administration est le processus de décentralisation de la délégation de responsabilité de la gestion d'unités d'organisation d'un administrateur central l'administration ? vers d'autres administrateurs.

! contrôler ou visualiser un sous-ensemble de données dans l'annuaire ou sur les ordinateurs membres rattachés à l'annuaire (isolation de la gestion des données). vous pouvez conférer des droits d'administration à un utilisateur particulier de telle sorte que celui-ci dispose d'un niveau approprié d'administration sur tout un domaine. En utilisant une combinaison d'unités d'organisation.16 Module 3 : Implémentation de la structure d'une unité d'organisation L'autonomie administrative : ! minimise le nombre d'administrateurs devant posséder des droits d'accès de haut niveau . . L'isolation correspond à la possibilité qu'ont les administrateurs d'une organisation d'empêcher les autres administrateurs de : ! contrôler ou d'interférer avec la gestion des services (isolation de la gestion des services) . sur toutes les unités d'organisation dans un domaine ou sur une seule unité d'organisation. de groupes et d'autorisations. Windows Server 2003 comporte des autorisations et des droits utilisateur spécifiques qui vous permettent de déléguer le contrôle administratif. ! limite l'impact d'une erreur administrative à une zone d'administration plus réduite.

Tâches d'administration Les administrateurs exécutent régulièrement les tâches suivantes dans courantes Active Directory : ! Modification des propriétés sur un conteneur particulier. les groupes et les imprimantes. ! Mise à jour de propriétés spécifiques sur des objets d'un type donné dans une unité d'organisation. concernant la mise à jour de propriétés. Par exemple. Dans une unité d'organisation. Lorsqu'un nouvel employé rejoint l'organisation. par utilisateurs. groupes et ordinateurs) afin de pouvoir les gérer de manière efficace. inclut des tâches comme la réinitialisation des mots de passe et la modification des informations personnelles d'un employé. telles que son adresse et son numéro de téléphone en cas de déménagement. ! Création et suppression d'objets d'un type particulier. les administrateurs peuvent créer une stratégie de groupe qui contrôle leur distribution. vous créez un compte d'utilisateur pour l'employé. . ces types spécifiques peuvent être les utilisateurs. lorsqu'un nouvel ensemble de logiciels est disponible. par exemple. puis vous ajoutez cet employé dans l'unité ou le groupe d'organisation approprié. Il se peut que la tâche d'administration la plus courante que vous effectuiez. Module 3 : Implémentation de la structure d'une unité d'organisation 17 Tâches d'administration pour unités d'organisation ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Utilisez des unités d'organisation pour regrouper des objets Active Directory par type (par exemple. par exemple.

puis sur Suivant. L'utilisation de l'Assistant vous permet de déléguer des tâches d'administration courantes. 1. cliquez sur Ajouter. cliquez ensuite sur Déléguer le contrôle.18 Module 3 : Implémentation de la structure d'une unité d'organisation Comment déléguer le contrôle administratif ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Vous pouvez utiliser l'Assistant Délégation de Contrôle pour déléguer le contrôle administratif des objets Active Directory. Procédure Exécutez la procédure ci-dessous pour déléguer des tâches d'administration courantes pour une unité d'organisation. la suppression et la gestion des comptes d'utilisateurs. tapez les noms des utilisateurs et des groupes auxquels vous souhaitez déléguer le contrôle de l'unité d'organisation. . puis sur Suivant. des ordinateurs ou des groupes. Procédez comme suit pour démarrer l'Assistant Délégation de contrôle : a. 2. cliquez ensuite sur OK. Dans le volet de détails. telles que la création. procédez comme suit : a. b. double-cliquez sur le nœud du domaine. Sélectionnez les utilisateurs ou les groupes auxquels vous souhaitez déléguer des tâches d'administration courantes. Dans la page Utilisateurs ou groupes. c. Ouvrez la console Utilisateurs et ordinateurs Active Directory. Pour ce faire. Dans la boîte de dialogue Sélectionner des utilisateurs. comme les unités d'organisation. cliquez avec le bouton droit sur l'unité d'organisation. b. Dans l'arborescence de la console.

sélectionnez les tâches que vous souhaitez déléguer. Lorsque vous déléguez le contrôle de la création d'objets dans Active Directory à un utilisateur ou à un groupe. reportez-vous à la rubrique « Comment déléguer le contrôle administratif » du Module 3. Module 3 : Implémentation de la structure d'une unité d'organisation 19 3. procédez comme suit : a. Pour ce faire. dans la page des annexes sur le CD-ROM du stagiaire. . b. en implémentant un quota pour cette entité. 4. Dans la page Tâches à déléguer. vous pouvez limiter le nombre d'objets qu'une entité de sécurité peut posséder dans une partition d'annuaire. Dans Windows Server 2003. cliquez sur Déléguer les tâches courantes suivantes. puis cliquez sur Suivant. ces derniers peuvent créer un nombre d'objets illimité. Affectez des tâches courantes à déléguer. Remarque Pour plus d'informations sur l'utilisation des quotas. Cliquez sur Terminer. Dans la page Tâches à déléguer.

ou sa suppression. telles que la création. Sélectionnez les utilisateurs ou les groupes auxquels vous souhaitez déléguer des tâches d'administration. par exemple les objets utilisateur d'une unité d'organisation. Procédure Procédez comme suit pour déléguer des tâches d'administration personnalisées dans le cadre d'une unité d'organisation : 1. Mais vous pouvez également sélectionner dans l'unité d'organisation les objets dont vous souhaitez déléguer le contrôle administratif. Vous pouvez par ailleurs spécifier que vous ne souhaitez déléguer que la création de l'objet sélectionné. Démarrez l'Assistant Délégation de contrôle. Vous pouvez. par exemple. vous pouvez utiliser l'Assistant pour sélectionner un ensemble de tâches personnalisées et ne déléguer le contrôle que de ces tâches. ou les deux. déléguer le contrôle de tous les objets existants dans une unité d'organisation et de tous les objets qui sont ajoutés. . 2. la suppression et la gestion des comptes d'utilisateurs.20 Module 3 : Implémentation de la structure d'une unité d'organisation Comment personnaliser le contrôle administratif délégué ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Outre l'utilisation de l'Assistant Délégation de contrôle pour déléguer un ensemble personnalisé de tâches d'administration.

Dans la page Tâches à déléguer. . puis cliquez sur Suivant. 4. effectuez l'une des opérations suivantes : i. ii. Sélectionnez les autorisations que vous souhaitez déléguer. puis cliquez sur Suivant. sélectionnez le type d'objet Active Directory dont vous souhaitez déléguer le contrôle. Pour ce faire. c. cliquez sur Créer une tâche personnalisée à déléguer. ou pour déléguer la création et la suppression d'objets enfants parmi les objets sélectionnés. Remarque Pour obtenir la liste des autorisations que vous pouvez déléguer pour les objets sélectionnés. Déléguer aussi la création de nouveaux objets dans ce dossier. procédez comme suit : a. puis cliquez sur Suivant. activez la case à cocher Spécifique aux propriétés. Affectez les tâches personnalisées à déléguer. Module 3 : Implémentation de la structure d'une unité d'organisation 21 3. b. Dans la page Type d'objet Active Directory. Cliquez sur Terminer. Cliquez sur Seulement des objets suivants dans le dossier. puis cliquez sur Suivant. Cliquez sur De ce dossier et des objets qui s'y trouvent.

sous Entrées d'autorisations. double-cliquez sur le nœud du domaine. Sous l'onglet Sécurité. 4. Procédure Procédez comme suit pour vérifier la délégation du contrôle : 1.22 Module 3 : Implémentation de la structure d'une unité d'organisation Comment vérifier la délégation du contrôle administratif ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Utilisez Utilisateurs et Ordinateurs Active Directory pour vérifier que l'Assistant Délégation de contrôle a correctement délégué l'autorité d'effectuer les tâches. Dans l'arborescence de la console. 3. 5. visualisez les autorisations affectées. Sous l'onglet Autorisations. cliquez dans le menu Affichage sur Fonctionnalités avancées. 2. Dans la console Utilisateurs et ordinateurs Active Directory. puis cliquez sur Propriétés. Dans le volet de détails. cliquez avec le bouton droit sur l'unité d'organisation. . cliquez sur Paramètres avancés.

Dans la boîte de dialogue Exécuter en tant que. Cliquez sur Démarrer. vous n'avez pas le temps d'exécuter les tâches d'administration de routine pour chaque unité d'organisation. puis le mot de passe P@ssw0rd et cliquez sur OK. Ouvrez une session sous le nom Nwtradersx\Nom_OrdinateurUser avec le mot de passe P@ssw0rd. 4. cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory. 3. Créez pour le domaine un groupe de sécurité local appelé DL Nom_OrdinateurAdmins dans l'unité d'organisation Nom_Ordinateur dans votre domaine (Nom_Ordinateur étant le nom de l'ordinateur sur lequel vous travaillez). Module 3 : Implémentation de la structure d'une unité d'organisation 23 Application pratique : Délégation des tâches d'administration d'une unité d'organisation ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Objectif Dans cette application pratique. Application pratique ! Déléguer les tâches d'administration courantes pour les unités d'organisation du domaine hébergé par votre ordinateur de stagiaire 1. pointez sur Outils d'administration. Vous souhaitez déléguer le contrôle des unités d'organisation au personnel du Support technique et aux responsables de chaque service. puis cliquez sur Exécuter en tant que. cliquez sur L'utilisateur suivant. Scénario Vous êtes l'administrateur du réseau pour Northwind Traders. Compte tenu de la taille de votre société. 2. vous allez déléguer des tâches d'administration courantes d'unités d'organisation dans le domaine hébergé par votre ordinateur de stagiaire. . tapez votre_domaine\Administrateur comme nom d'utilisateur.

Déléguez le droit de créer. supprimer et gérer des comptes d'utilisateurs dans l'unité d'organisation Nom_Ordinateur au groupe DL Nom_OrdinateurAdmins. . Ajoutez le groupe global Nwtraders\G Nom_OrdinateurAdmins comme membre du groupe local de domaine DL Nom_OrdinateurAdmins.24 Module 3 : Implémentation de la structure d'une unité d'organisation 5. 6. Vérifiez que le contrôle a été délégué pour ces tâches en visualisant les autorisations affectées au groupe local de domaine pour l'unité d'organisation Nom_Ordinateur. 7.

Module 3 : Implémentation de la structure d'une unité d'organisation 25 Leçon : Planification d'une stratégie d'unité d'organisation ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Les unités d'organisation sont des conteneurs dans chaque domaine Active Directory représentant les structures hiérarchiques dans une organisation. vous devez comprendre les facteurs qui affectent dans votre organisation la création d'unités d'organisation. Objectifs de la leçon À la fin de cette leçon. Pour créer la structure d'une unité d'organisation représentant au mieux la structure de l'organisation. ! expliquer les principes utilisés pour déterminer comment déléguer le contrôle administratif à une unité d'organisation. ! décrire les facteurs organisationnels qui affectent la planification d'une unité d'organisation . Cette leçon vous apporte les connaissances et compétences nécessaires pour planifier une stratégie d'unité d'organisation. . ! expliquer les conditions de détermination de la structure d'une unité d'organisation . vous serez à même d'effectuer les tâches suivantes : ! décrire le processus de planification d'une unité d'organisation .

Processus de Procédez comme suit pour planifier la stratégie d'unité d'organisation pour votre planification d'unité organisation : d'organisation ! Documentez la structure existante de l'organisation. . Travaillez avec l'équipe de planification pour identifier les domaines à améliorer. Les administrateurs peuvent ainsi se concentrer sur les domaines où leur expertise est requise. puis à documenter les administrateurs qui sont responsables de chacune d'elles. Lors de la documentation de la structure existante de l'organisation. ! Identifiez les domaines à améliorer. il peut être plus rentable de combiner plusieurs équipes IT provenant de différentes divisions. Vous pouvez identifier le personnel non informatique susceptible de vous aider dans le processus d'administration et réduire la charge de travail du personnel informatique.26 Module 3 : Implémentation de la structure d'une unité d'organisation Processus de planification d'unité d'organisation ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction La structure des unités d'organisation dans Active Directory est basée sur la structure administrative de l'organisation. La première étape de planification d'une structure d'unité d'organisation consiste à documenter la structure de l'organisation. Par exemple. une stratégie consiste à diviser les tâches d'administration en catégories.

. Module 3 : Implémentation de la structure d'une unité d'organisation 27 Utilisez ensuite les points suivants comme consignes pour votre plan de délégation : ! Déterminez le niveau d'administration. ces groupes peuvent créer et supprimer des objets dans une classe spécifiée et modifier tous les attributs des objets dans la classe spécifiée. Ces informations vous aideront à déterminer la propriété et les autorisations affectées aux unités d'organisation que vous créez pour prendre en charge le plan de délégation. par défaut. identifiez quels groupes : • auront un contrôle intégral sur les objets d'une classe particulière . • seront autorisés à ne modifier que des attributs spécifiques d'objets existants d'une classe particulière. Lorsque vous créez le plan. • seront autorisés à créer des objets d'une classe particulière . Décidez ce que chaque groupe contrôlera et à quel niveau vous déléguerez l'administration dans la hiérarchie administrative. ! Identifiez chaque administrateur et compte d'utilisateur dans votre organisation ainsi que les ressources qu'ils administrent. les utilisateurs ont le contrôle intégral des objets qu'ils créent .

une équipe informatique principale centralisée est responsable des principaux services d'infrastructure. Dans ce modèle. mais elle délègue la plupart des opérations quotidiennes aux groupes informatiques situés dans des succursales. . Types de modèles Les organisations informatiques les plus courantes sont les suivantes : d'administration informatique ! Informatique centralisée.28 Module 3 : Implémentation de la structure d'une unité d'organisation Facteurs organisationnels déterminant la structure d'une unité d'organisation ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Les facteurs qui affectent la structure d'une unité d'organisation sont : le type et la structure du modèle d'administration informatique. Dans ce modèle. ! Informatique centralisée avec gestion décentralisée. La compréhension de ces facteurs vous aidera à créer la structure d'une unité d'organisation la mieux adaptée à vos impératifs organisationnels. bien que certaines tâches de routine puissent être déléguées à certains groupes ou services. l'organisation informatique ne rend de comptes qu'à une seule personne et est généralement le groupe responsable pour tous les services d'information et de réseau. lesquels assurent un support administratif local à leurs utilisateurs.

. les groupes informatiques doivent travailler ensemble pour implémenter les modifications. Lorsque seuls quelques éléments de l'organisation informatique sont externalisés. ! Administration basée sur une fonction business. le groupe informatique interne conserve le contrôle de l'organisation sans compromettre les accords de niveau de service que le sous-traitant s'est engagé à fournir. comme les utilisateurs. les informatique groupes. Structure d'un modèle La structure du modèle d'administration reflète la façon dont une organisation d'administration gère ses ressources informatiques. Dans cette structure. L'organisation informatique est centralisée. Une organisation de ce type peut comporter plusieurs groupes informatiques avec des objectifs et des besoins divers. Cette structure associe les points forts de plusieurs modèles pour répondre aux besoins d'administration de l'organisation. il devient impératif d'implémenter un modèle de délégation en bonne et due forme. Ainsi. l'organisation informatique est divisée en services ou en unités commerciales. Certaines organisations sous-traitent la gestion de tout ou partie de leur organisation informatique. chaque succursale possède son propre groupe d'administration qui gère les ressources sur place). Pour chaque initiative technologique affectant toute l'organisation. Ce type d'organisation permet à diverses unités commerciales de sélectionner un modèle informatique approprié pour répondre à leurs besoins. ! Administration hybride. les imprimantes et les fichiers partagés. Une organisation informatique décentralisée base souvent son modèle d'administration sur des fonctions business dans l'organisation. ! Administration basée sur l'organisation. chacun possédant son propre groupe informatique. les ordinateurs. par exemple au siège. comme la mise à niveau d'une application de messagerie. ! Informatique externalisée. Les différentes manières selon lesquelles les modèles d'administration sont structurés incluent : ! Administration basée sur l'emplacement géographique. mais l'administration du réseau est distribuée géographiquement (par exemple. Module 3 : Implémentation de la structure d'une unité d'organisation 29 ! Informatique décentralisée.

Si l'administration informatique est basée par service ou par division. . ce modèle est moins susceptible d'être modifié et. Instructions Utilisez les consignes suivantes pour vous aider à planifier la structure d'unité d'organisation d'une organisation. Dans le cas d'une organisation fortement distribuée avec une fonction informatique centralisée et une forte séparation de services ou divisionnaire. organisez la structure d'Active Directory par emplacement. Si l'administration informatique est décentralisée. lorsque vous vous basez sur l'organisation. Ne choisissez cette approche que si la fonction informatique n'est pas basée sur l'emplacement ou l'organisation.30 Module 3 : Implémentation de la structure d'une unité d'organisation Consignes de planification d'une structure d'unité d'organisation ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction La conception d'unités d'organisation est basée sur le modèle d'administration informatique d'une organisation. ! Le modèle hybride. Il se peut que l'organigramme ne corresponde pas aux besoins d'administration d'une organisation. ! L'organisation. concevez les unités ou les domaines de niveau supérieur par emplacement et les niveaux inférieurs par organisation. concevez la structure d'Active Directory en vous basant sur les fonctions de l'organisation. plutôt que l'organigramme. moins susceptible d'exiger un effort important lors d'une réorganisation. par conséquent. La structure peut être basée sur : ! L'emplacement géographique. ! Les fonctions business. Cette structure est idéale (c'est la mieux appropriée) pour de petites organisations avec des responsabilités professionnelles couvrant plusieurs services. Si le modèle d'administration est distribué géographiquement et si des administrateurs sont présents dans chaque emplacement. Comme les niveaux les plus élevés sont basés sur l'emplacement. concevez Active Directory en fonction de la structure de l'organisation. Vérifiez que vous respectez bien la structure d'administration.

couvrant plusieurs quement ? central quement ? services ? Oui Non Oui Non Oui Non Non Séparation Séparation de services ou de services ou Organisation puis Groupe unique Organisation Fonction divisionnaire ? divisionnaire ? emplacement central Non Oui Oui Location then Emplacement Organisation organization . Fonction Informatique centralisée ? Oui Non Séparation Administration de services ou distribuée ? divisionnaire ? Oui Non Oui Non Distribuée Distribuée Équipes géographi. Module 3 : Implémentation de la structure d'une unité d'organisation 31 Utilisez le diagramme suivant comme arborescence de décision pour déterminer la structure d'unité d'organisation appropriée pour une organisation. Groupe unique géographi.

Instructions Tenez compte des consignes suivantes lorsque vous planifiez la délégation du contrôle administratif dans votre organisation : ! Affectez le contrôle au niveau le plus élevé possible d'unité d'organisation et utilisez la fonction d'héritage. par conséquent. Remarque Les membres du groupe Admins du domaine peuvent toujours s'approprier un objet dans le domaine. Avant d'affecter des autorisations aux utilisateurs dans une organisation. Cela crée un journal d'audit plus simple et réduit les risques d'incident si un administrateur commet une erreur alors qu'il a ouvert une session avec un compte administrateur. Lorsqu'un membre du groupe Administrateurs crée un objet ou se l'approprie. puis en modifier les autorisations — raison de plus pour limiter le nombre d'utilisateurs dans le groupe Admins du domaine. ainsi que le type d'accès dont une personne peut ou non disposer. vous devez déterminer qui peut et ne peut pas accéder à un objet et à son contenu. . ce groupe devient propriétaire de l'objet.32 Module 3 : Implémentation de la structure d'une unité d'organisation Consignes pour la délégation du contrôle administratif ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Déléguez autant que possible le droit d'octroyer des autorisations afin de limiter les coûts et les difficultés d'administration et. Pour des besoins de suivi. Windows Server 2003 liste le nom de ce membre. réduire le coût total de possession. Vous pouvez ensuite gérer les autorisations de manière plus efficace.

Envisagez de placer des objets dans des unités d'organisation séparées selon la manière dont ils seront gérés.microsoft. cependant. Par conséquent. • Déléguez à des utilisateurs ou à des groupes d'utilisateurs le droit d'affecter des autorisations de contrôle d'accès à des objets. accordez des droits d'administration aux utilisateurs pour les diverses unités d'organisation et limitez l'appartenance dans le groupe Admins du domaine. déléguez le droit de déléguer. consultez le Guide de planification et de déploiement Windows Server 2003 à l'adresse http://www. ! Minimisez le nombre d'administrateurs de domaine. Les autorisations de groupe simplifient l'actualisation des DACL sur les réseaux comportant de nombreux utilisateurs et objets. Déléguez le contrôle administratif à des groupes globaux ou universels lorsque vous affectez des autorisations à des objets dans la partition de configuration ou pour des attributs qui sont publiés dans le catalogue global. Lorsque vous souhaitez contrôler étroitement les privilèges de l'administrateur de domaine. En d'autres termes. Lors de l'affectation d'autorisations. plutôt qu'à des individus. Remarque Pour plus d'informations sur la délégation du contrôle. ! Affectez des autorisations d'accès à des groupes. • Utilisez la fonction d'héritage pour permette le transfert des autorisations de contrôle d'accès aux objets enfants. Important Déléguez le contrôle administratif aux groupes locaux de domaine lorsque vous affectez des autorisations à des objets dans un domaine. comme celui de s'approprier tout objet et de définir des stratégies de sécurité pour tout le domaine. exécutez les tâches ci-dessous.asp (en anglais).microsoft. évitez d'y avoir recours. plutôt que de gérer les propriétés à l'aide de listes de contrôle d'accès discrétionnaire (DACL. vous devrez bloquer l'héritage pour éviter qu'un objet enfant n'hérite des autorisations définies sur l'objet parent. Parfois.com/reskit. Le groupe Admins du domaine possède des droits spéciaux dans un domaine. l'affectation d'autorisations à des groupes est une puissante fonctionnalité car elle vous permet d'imbriquer des groupes. ce qui réduit le nombre total d'objets à gérer. Le blocage de l'héritage rend difficile la documentation et le dépannage des autorisations sur un objet. Discretionary Access Control List) distinctes pour objets dans une unité d'organisation unique. Par ailleurs. . Consultez également « Active Directory Service Interfaces Overview » à l'adresse http://www. Module 3 : Implémentation de la structure d'une unité d'organisation 33 ! Évitez d'affecter des autorisations au niveau propriété ou tâche afin de simplifier l'administration.com/windows2000/techinfo/howitworks/ activedirectory/adsilinks. • Affectez des autorisations courantes ou spéciales sur des objets.

Scénario Northwind Traders se prépare à installer Windows Server 2003 sur ses sites de Sacramento. L'équipe de conception d'Active Directory utilisera un domaine racine vide. (Californie) et Portland (Oregon). vous allez travailler avec votre partenaire sur la planification d'une structure d'unité d'organisation pour Northwind Traders. x étant un numéro que votre instructeur vous affectera. Northwind Traders a 1500 utilisateurs répartis dans six services sur ces deux sites.msft. et un sous-domaine. Tous les comptes d'utilisateurs et d'ordinateurs sont dans le domaine corpx. corpx.34 Module 3 : Implémentation de la structure d'une unité d'organisation Application pratique : Planification d'une structure d'unité d'organisation ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Objectif Dans cette application pratique. nwtradersx.msft. Portland compte 600 utilisateurs dans les services suivants : ! Comptabilité (Accounting) ! Informatique ! Achats (Purchasing) ! Livraison (Shipping) Sacramento compte 900 utilisateurs dans les services suivants : ! Comptabilité ! Ressouces humaines ! Informatique ! Achats ! Ventes .nwtradersx.

La réponse suivante est une solution possible à l'exercice de l'application pratique : Domaine Corp • Accounting • Portland • Sacramento • HR • IT • Portland • Sacramento • Purchasing • Portland • Sacramento • Sales • Shipping . ou d'un service situé à un emplacement spécifique. Module 3 : Implémentation de la structure d'une unité d'organisation 35 Dans chaque service. Utilisez le graphique suivant pour documenter votre plan de structure d'unité d'organisation. Procédure Travaillez avec votre partenaire pour planifier une structure d'unité d'organisation. un administrateur local gère les comptes d'utilisateurs et les paramètres de stratégie de groupe. Le service Informatique souhaite déléguer le droit de gérer tous les utilisateurs d'un service spécifique.

Vous créerez les nouveaux groupes locaux de domaine dans l'unité d'organisation Nom_Ordinateur\IT. Remarque Chaque fois que corpx ou nwtradersx apparaît dans l'atelier. ! posséder les connaissances et les compétences requises pour créer des unités d'organisation. créer un groupe local de domaine DL AccountingAdmins et DL ResearchAdmins. Vous devez. Chaque service possède un administrateur local qui gère les comptes d'utilisateurs.36 Module 3 : Implémentation de la structure d'une unité d'organisation Atelier A : Implémentation de la structure d'une unité d'organisation ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Objectifs À la fin de cet atelier. vous devez : préalables ! savoir comment créer un groupe à l'aide de la console Utilisateurs et ordinateurs Active Directory . Durée approximative de cet atelier : 45 minutes . puis déléguer des autorisations à chaque groupe afin de gérer l'unité d'organisation appropriée. Scénario Northwind Traders embauche du personnel comptable et de recherche (Research) dans tous ses sites. ! déléguer le contrôle d'une unité d'organisation. en outre. De nouvelles unités d'organisation doivent être créées sur chaque site pour les services correspondants. dans votre domaine. Vous devez créer une unité d'organisation Accounting et une autre nommée Research dans l'unité d'organisation Nom_Ordinateur. Connaissances Avant de travailler sur cet atelier. dans votre domaine. vous serez à même d'effectuer les tâches suivantes : ! créer une unité d'organisation . remplacez x par le numéro affecté à votre domaine.

Utiliser l'outil de ligne de " Ouvrez une session sous le nom Nwtradersx\Nom_OrdinateurUser commande Dsadd pour créer avec le mot de passe P@ssw0rd. dans votre domaine. Tâches Instructions spécifiques 1. les unités d'organisation Accounting et Research dans l'unité d'organisation Nom_Ordinateur. . Module 3 : Implémentation de la structure d'une unité d'organisation 37 Exercice 1 Création d'unités d'organisation Vous allez utiliser dans cet exercice l'outil de ligne de commande Dsadd pour créer les unités d'organisation dans votre domaine.

3. puis déléguer le contrôle de chaque unité d'organisation au groupe approprié. ajouter des groupes globaux à partir du domaine nwtraders. Pour terminer.38 Module 3 : Implémentation de la structure d'une unité d'organisation Exercice 2 Délégation du contrôle administratif Dans cet exercice. Ajouter le groupe global G Nom_OrdinateurAdmins à partir du domaine Nwtraders.msft aux groupes que vous créez. Utiliser l'Assistant Délégation de Contrôle pour déléguer le droit de créer. vous allez utiliser la console Utilisateurs et ordinateurs Active Directory pour créer des groupes. . Tâches Instructions spécifiques 1. supprimer et gérer des comptes d'utilisateurs dans les unités d'organisation Accounting et Research aux les groupes locaux de domaine appropriés que vous avez créés. Utiliser Exécuter en tant que pour démarrer la console Utilisateurs et Nom_Ordinateur\IT : Ordinateurs Active Directory sous votre_domaine\Administrateur • DL AccountingAdmins avec le mot de passe P@ssw0rd. • DL ResearchAdmins 2. Ouvrir une session sous le nom Nwtradersx\Nom_OrdinateurUser domaine suivants dans avec le mot de passe P@ssw0rd.msft aux groupes locaux de domaine DL AccountingAdmins et DL ResearchAdmins dans votre domaine. l'unité d'organisation b. vous vérifierez la délégation du contrôle. Créer les groupes locaux de a.

ordinateurs Active Directory sous votre_domaine\Administrateur avec le mot de passe P@ssw0rd. Utiliser Exécuter en tant que pour démarrer la console Utilisateurs et Directory. Module 3 : Implémentation de la structure d'une unité d'organisation 39 Exercice 3 Vérification de la délégation du contrôle Vous allez vérifier dans cet exercice les autorisations affectées aux groupes DL AccountingAdmins et DL ResearchAdmins dans les unités d'organisation Accounting et Research. Ouvrir une session sous le nom Nwtradersx\Nom_OrdinateurUser avancées dans Utilisateurs avec le mot de passe P@ssw0rd. 2. et ordinateurs Active b. Visualiser les autorisations affectées aux groupes locaux de domaine DL AccountingAdmins et DL ResearchAdmins dans votre domaine pour les unités d'organisation Accounting et Research. Quelles autorisations sont affectées au groupe DL AccountingAdmins ? À quels objets les autorisations s'appliquent-elles ? Quelles autorisations sont affectées au groupe DL ResearchAdmins ? À quels objets les autorisations s'appliquent-elles ? . Activer la vue Fonctions a. Tâches Instructions spécifiques 1.

THIS PAGE INTENTIONALLY LEFT BLANK .

de groupes et d'ordinateurs Table des matières Vue d'ensemble 1 Leçon : Présentation des comptes 2 Leçon : Création et gestion de plusieurs comptes 11 Leçon : Implémentation des suffixes UPN 24 Leçon : Déplacement d'objets dans Active Directory 35 Leçon : Planification d'une stratégie de compte d'utilisateur. Module 4 : Implémentation de comptes d'utilisateurs. de groupe et d'ordinateur 45 Leçon : Planification d'une stratégie d'audit Active Directory 59 Atelier A : Implémentation d'une stratégie de compte et d'audit 65 .

les logos. Les produits mentionnés dans ce document peuvent faire l'objet de brevets. enregistrement ou autre). logos. marques. Visio. lieux et événements existants ou ayant existé serait purement fortuite. aucune partie de ce manuel ne peut être reproduite. noms de domaines. personnes. Visual Basic. Active X. Les autres noms de produit et de société mentionnés dans ce document sont des marques de leurs propriétaires respectifs. PowerPoint. pourront faire l'objet de modifications sans préavis. photocopie.Les informations contenues dans ce document. . mécanique. Sauf mention contraire. les noms de domaines. Visual C++ et Windows Media sont soit des marques de Microsoft Corporation. Microsoft. les adresses de messagerie. Sans limitation des droits d'auteur. Windows NT. MSDN.  2003 Microsoft Corporation. de dépôts de brevets en cours. MS-DOS. sans la permission expresse et écrite de Microsoft Corporation. les personnes. Tous droits réservés. soit des marques déposées de Microsoft Corporation. la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft. Active Directory. ou transmise à quelque fin ou par quelque moyen que ce soit (électronique. les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés. les produits. de marques. notamment les adresses URL et les références à des sites Web Internet. Windows. produits. stockée ou introduite dans un système d'extraction. adresses de messagerie. aux États-Unis d'Amérique et/ou dans d'autres pays. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son pays. de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. les sociétés. droits d'auteur ou autres droits de propriété intellectuelle.

ppt Préparation Pour préparer ce module. Ce module explique également comment implémenter des suffixes de nom d'utilisateur principal (UPN. Ce fichier se trouve dans le dossier \Student\Labfiles\Setup sur le CD-ROM de l'instructeur. de groupes et d'ordinateurs iii Notes de l'instructeur Présentation : Ce module fournit aux stagiaires les connaissances et les compétences 120 minutes nécessaires à la planification de comptes d'utilisateurs. ! planifier une stratégie pour des comptes d'utilisateurs. ! planifier une stratégie d'audit Active Directory. de groupes et d'ordinateurs . de groupes et d'ordinateurs dans le service d'annuaire Active Directory® dans Microsoft® Atelier : Windows Server™ 2003. Configuration Cette section contient les instructions à suivre pour préparer l'ordinateur de de la classe l'instructeur ou configurer la classe en vue de réaliser l'atelier. anticiper autant que possible les réponses que les stagiaires sont susceptibles de donner et préparer des réponses appropriées en conséquence. ! déplacer des objets à l'intérieur d'un domaine et entre domaines d'une forêt .vbs sur le serveur London avant que les stagiaires commencent l'atelier de ce module. anticiper les questions que les stagiaires sont susceptibles de poser et préparer des réponses appropriées pour chacune de ces questions . Ce module explique comment créer plusieurs comptes 60 minutes d'utilisateurs et d'ordinateurs à l'aide des outils de ligne de commande tels que Csvde et Ldifde. ! créer plusieurs comptes d'utilisateurs et d'ordinateurs . vous devez effectuer les tâches suivantes : ! lire tous les documents de cours relatifs à ce module . Documents de cours Pour animer ce module. vous devez disposer des éléments suivants : ! Fichier Microsoft PowerPoint® 2194A_04. ! réaliser l'atelier . les stagiaires seront à même d'effectuer les tâches suivantes : ! décrire les types de comptes et de groupes Active Directory . et comment gérer des comptes à l'aide de l'environnement d'exécution de scripts Windows. À la fin de ce module. Module 4 : Implémentation de comptes d'utilisateurs. ! Préparer l'atelier • Exécutez le fichier de l'environnement d'exécution de scripts Windows UpnSuffixes. . ! étudier les applications pratiques et les questions d'évaluation ainsi que les suggestions de réponses fournies . ! implémenter des suffixes UPN . User Principal Name). tout au long du module.

iv Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Comment animer ce module
Cette section contient des informations qui ont pour but de vous aider à animer
ce module.

Important Ce module inclut des éléments requis pour chaque leçon, situés sur
le CD-ROM du stagiaire. Vous pouvez les présenter en introduction pour aider
les stagiaires à identifier les difficultés ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances à la fin de la
journée. Vous pouvez aussi les utiliser en début de journée pour passer en revue
les éléments abordés la veille.

Laissez 10 minutes aux stagiaires pour préparer leurs réponses aux questions
d'évaluation. Vous pouvez choisir de parcourir ensemble les questions et les
réponses, ou demander aux stagiaires de préparer les réponses de leur côté.

Remarque Certaines rubriques font référence à des informations
complémentaires situées dans les annexes. Les stagiaires n'ont pas besoin de
ces informations pour exécuter les tâches présentées dans ce module. Avant
d'animer la classe, passez en revue ces informations dans la page des annexes
sur le CD-ROM du stagiaire. Durant la classe, indiquez ces annexes aux
stagiaires pour obtenir des informations complémentaires.

Procédures, Expliquez aux stagiaires de quelle manière les procédures, les applications
applications pratiques pratiques et les ateliers ont été conçus pour ce cours. Un module comprend au
et ateliers minimum deux leçons. La plupart des leçons comprennent des procédures et
une application pratique. Une fois que les stagiaires ont terminé les leçons, le
module enchaîne sur un atelier.

Procédures
Les procédures vous permettent de montrer comment effectuer une tâche. Les
stagiaires n'effectuent pas les tâches en même temps que vous. Ils se servent des
étapes décrites pour effectuer l'application pratique à la fin de chaque leçon.

Applications pratiques
Après avoir présenté le contenu d'une rubrique et les procédures de la leçon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tâches décrites dans la leçon.

Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs v

Ateliers
À la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tâches abordées dans l'ensemble du module.
En utilisant des scénarios correspondant à l'environnement professionnel du
stagiaire, l'atelier propose des instructions présentées sous forme de deux
colonnes. La colonne de gauche indique la tâche à effectuer (par exemple, créer
un groupe). La colonne de droite contient des instructions spécifiques pour
effectuer la tâche (par exemple : à partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nœud du domaine).
Si les stagiaires ont besoin d'instructions détaillées pour mener à bien l'atelier,
ils disposent d'un corrigé de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent également se reporter aux applications pratiques et aux procédures
du module.

Leçon : Présentation des comptes
Cette section décrit les méthodes pédagogiques à mettre en œuvre pour chaque
point de cette leçon.
Les informations contenues dans cette leçon constituent des connaissances
préalables à ce cours. Appuyez-vous sur les informations de la rubrique Types
de comptes.
Lors de la présentation de la rubrique Types de groupes, concentrez-vous sur les
groupes de sécurité. Il suffit que les stagiaires comprennent la finalité des
groupes de distribution.
Lors de la présentation des rubriques Définition des groupes locaux de
domaine, Définition des groupes globaux et Définition des groupes universels,
vérifiez que les stagiaires comprennent à quel moment ils doivent utiliser ces
différents types de groupes.
Application pratique Cette leçon ne comporte pas d'application pratique.

Leçon : Création et gestion de plusieurs comptes
Lors de la présentation de la rubrique Outils permettant de créer et gérer
plusieurs comptes, vérifiez que les stagiaires ont conscience que lorsqu'ils
utilisent Csvde pour créer des comptes, ceux-ci auront des mots de passe vides.
Présentez les procédures de création des comptes à l'aide des outils de ligne de
commande Csvde et Ldifde. Dites aux stagiaires de consulter les annexes pour
obtenir la liste des options courantes utilisées avec Csvde. Créez un exemple de
script d'environnement d'exécution de scripts Windows qui ajoute un compte
d'utilisateur à Active Directory. Dites aux stagiaires de consulter les annexes
pour obtenir l'exemple d'un script qui crée un compte d'utilisateur.
Application pratique À la fin de cette leçon, les stagiaires créeront un fichier de script contenant
des commandes pour créer trois comptes d'utilisateurs. Ils exécuteront ensuite
ce fichier de script et utiliseront la console Utilisateurs et ordinateurs
Active Directory pour vérifier que les utilisateurs ont été créés.

vi Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Leçon : Implémentation des suffixes UPN
Lors de la présentation de la rubrique Définition d'un nom d'utilisateur
principal, vérifiez que les stagiaires comprennent les avantages liés à
l'utilisation des UPN et les règles d'unicité des noms d'ouverture de session
utilisateur.
Après avoir présenté la présentation multimédia Fonctionnement du routage
des suffixes de noms, résumez les points clés.
Montrez comment créer et supprimer un suffixe UPN. Montrez également
comment activer et désactiver le routage des suffixes de noms dans les
approbations.
Application pratique À la fin de cette leçon, les stagiaires créeront un suffixe de nom pour un
domaine de second niveau et activeront le routage des suffixes de noms sur
deux forêts.

Leçon : Déplacement d'objets dans Active Directory
La procédure de déplacement d'objets Active Directory, tels qu'un compte
d'utilisateur, a de sérieuses ramifications. Par exemple, lorsqu'un compte
d'utilisateur est déplacé, l'utilisateur peut perdre tous ses messages
électroniques. Lors de la présentation de la rubrique Implications du
déplacement d'objets, vérifiez que les stagiaires comprennent ces implications.
Lors de la présentation des rubriques Comment déplacer des objets au sein d'un
domaine ? et Comment déplacer des objets entre domaines ?, montrez comment
déplacer des objets dans un domaine et entre domaines.
Montrez également comment utiliser LDP.exe pour afficher les propriétés des
objets déplacés.
Application pratique À la fin de cette leçon, les stagiaires déplaceront un compte d'utilisateur d'un
domaine vers un autre, puis afficheront les propriétés des identificateurs de
sécurité (SID, Security IDentifier), de l'historique SID et de l'identificateur
unique global (GUID, Globally Unique IDentifier) pour vérifier qu'elles ont été
modifiées.

Leçon : Planification d'une stratégie de compte d'utilisateur, de
groupe et d'ordinateur
Cette leçon présente des instructions pour affecter un nom aux comptes, créer
une stratégie de mot de passe et développer des stratégies pour des groupes
ainsi que pour l'authentification, l'autorisation et l'administration d'un compte.
Encouragez une discussion de groupe sur ces rubriques. Guidez ces discussions
afin que les stagiaires ne s'éloignent pas du sujet et ne passent pas trop de temps
sur cette rubrique.
Application pratique À la fin de cette leçon, à partir d'un scénario fictif, les stagiaires planifieront des
stratégies d'attribution de nom de compte, de mot de passe, d'authentification,
d'autorisation et d'administration ainsi qu'une stratégie de groupe pour une forêt.

Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs vii

Leçon : Planification d'une stratégie d'audit Active Directory
Cette leçon présente les instructions pour effectuer un audit des modifications
apportées à Active Directory.
Lors de la présentation des rubriques de cette leçon, utilisez votre expérience
personnelle dans la planification d'une stratégie d'audit pour renforcer les
informations des différentes rubriques.
Application pratique À la fin de cette leçon, les stagiaires planifieront une stratégie d'audit d'après un
scénario donné.

Atelier A : Implémentation d'une stratégie de compte et d'audit
Dans cet atelier, les stagiaires planifieront et implémenteront une stratégie de
compte. Ils créeront plusieurs comptes d'utilisateurs à l'aide de l'outil de ligne
de commande Csvde. Les stagiaires créeront également un suffixe UPN, puis
résoudront un conflit de routage de suffixe UPN entre deux forêts. Enfin, en
travaillant par paire, les stagiaires déplaceront un groupe d'utilisateurs entre
leurs domaines respectifs et afficheront les modifications apportées aux
propriétés des identificateurs SID et de l'historique SID des comptes déplacés.

Informations sur la personnalisation
Cette section identifie la configuration requise pour l'atelier de ce module et
les changements de configuration qui se produisent sur les ordinateurs des
stagiaires lors de cet atelier. Ces informations sont données pour vous aider à
dupliquer ou à personnaliser les cours MOC (Microsoft Official Curriculum).

Important L'atelier de ce module dépend également de la configuration de la
classe qui est spécifiée dans la section Informations sur la personnalisation à la
fin du Guide de configuration automatisée de la classe pour le cours 2194A,
Planification, implémentation et maintenance d'une infrastructure
Active Directory Microsoft Windows Server 2003.

Configuration de l'atelier
La liste suivante décrit la configuration requise pour l'atelier de ce module.
Configuration requise 1 Les ateliers de ce module exigent que l'ordinateur de chaque stagiaire soit
configuré comme contrôleur de domaine dans sa propre forêt. Pour préparer les
ordinateurs des stagiaires afin qu'ils remplissent cette condition, exécutez les
instructions des guides de configuration automatisée et manuelle de ce cours,
puis effectuez les ateliers du Module 2, « Implémentation d'une structure
de forêt et de domaine Active Directory », du cours 2194, Planification,
implémentation et maintenance d'une infrastructure Active Directory
Microsoft Windows Server 2003.

viii Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Résultats de l'atelier
L'exécution de l'atelier de ce module induit les changements de configuration
ci-dessous.
! Elle crée les unités d'organisation suivantes dans le domaine de chaque
stagiaire :
• IT Admin
• IT Users
• IT Groups
• NWTraders Groups
• Domain Local
• Global
• Universal
• IT Test
• IT Test Move
! Un groupe global G IT Admins est créé dans le domaine de chaque
stagiaire.
! 26 groupes locaux de domaine nommés DL Nom_Ordinateur OU
Administrateurs sont créés.
! Un groupe local de domaine nommé DL IT OU Administrateurs est créé.
! 26 utilisateurs nommés Nom_OrdinateurAdmin sont créés.
! Deux suffixes UPN Nom_Ordinateur sont ajoutés à la forêt de chaque
stagiaire, un par ordinateur de la forêt.

Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs 1

Vue d'ensemble

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Introduction Dans ce module, vous allez apprendre à planifier et implémenter des comptes
d'utilisateurs, de groupes et d'ordinateurs dans le service d'annuaire Active
Directory®. Vous apprendrez également à créer plusieurs comptes d'utilisateurs
et d'ordinateurs et à implémenter des suffixes UPN (User Principal Name).
Objectifs de la leçon À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :
! décrire les types de comptes et de groupes Active Directory ;
! créer plusieurs comptes d'utilisateurs et d'ordinateurs ;
! implémenter des suffixes UPN ;
! déplacer des objets à l'intérieur d'un domaine et entre domaines d'une forêt ;
! planifier une stratégie pour des comptes d'utilisateurs, de groupes et
d'ordinateurs ;
! planifier une stratégie d'audit Active Directory.

2 Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Leçon : Présentation des comptes

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Introduction Cette leçon décrit les types de comptes et de groupes que vous pouvez
créer dans Microsoft® Windows Server™ 2003. Elle décrit également le
comportement des groupes globaux, des groupes locaux de domaine et
des groupes universels.
Objectifs de la leçon À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
! décrire les types de comptes que vous pouvez créer dans
Windows Server 2003 ;
! décrire les types de groupes que vous pouvez créer dans
Windows Server 2003 ;
! décrire le comportement des groupes locaux de domaine ;
! décrire le comportement des groupes globaux ;
! décrire le comportement des groupes universels.

Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs 3

Types de comptes

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Introduction Vous pouvez créer trois types de comptes dans Active Directory : comptes
d'utilisateurs, de groupes et d'ordinateurs. Les comptes d'utilisateurs et
d'ordinateurs Active Directory représentent une entité physique, telle qu'un
ordinateur ou une personne. Vous pouvez également utiliser les comptes
d'utilisateurs comme comptes de services dédiés pour certaines applications.
Comptes d'utilisateurs Un compte d'utilisateur est un objet stocké dans Active Directory qui permet
une ouverture de session unique, autrement dit un utilisateur entre son mot de
passe une seule fois lors de l'ouverture de session sur une station de travail pour
obtenir un accès authentifié aux ressources réseau.
Il existe trois types de comptes d'utilisateurs, chacun ayant une fonction
spécifique :
! Un compte d'utilisateur local permet à un utilisateur d'ouvrir une session sur
un ordinateur spécifique pour accéder aux ressources sur cet ordinateur.
! Un compte d'utilisateur de domaine permet à un utilisateur de se connecter
au domaine pour accéder aux ressources réseau, ou à un ordinateur
individuel pour accéder aux ressources sur cet ordinateur.
! Un compte d'utilisateur intégré permet à un utilisateur d'effectuer des tâches
d'administration ou d'accéder temporairement aux ressources réseau.

4 Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Comptes d'ordinateurs Chaque ordinateur exécutant Microsoft Windows NT®, Windows 2000 ou
Windows XP, ou un serveur exécutant Windows Server 2003 qui rejoint un
domaine possède un compte d'ordinateur. À l'image des comptes d'utilisateurs,
les comptes d'ordinateurs permettent d'authentifier et d'auditer l'accès d'un
ordinateur aux ressources réseau et du domaine. Chaque compte d'ordinateur
doit être unique.
Comptes de groupes Un compte de groupe est un ensemble d'utilisateurs, d'ordinateurs ou de
groupes. Vous pouvez utiliser des groupes pour gérer efficacement l'accès aux
ressources du domaine, et ainsi simplifier l'administration. Lorsque vous
utilisez des groupes, vous affectez en une fois des autorisations pour des
ressources partagées, telles que des dossiers et des imprimantes, à des
utilisateurs individuels.

Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs 5

Types de groupes

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Introduction Il existe deux types de groupes dans Active Directory, les groupes de
distribution et les groupes de sécurité. Tous deux possèdent un attribut
d'étendue, qui détermine qui peut être membre du groupe et à quel endroit vous
pouvez utiliser ce groupe dans un réseau. Vous pouvez convertir à tout moment
un groupe de sécurité en un groupe de distribution et inversement, mais
uniquement si le niveau fonctionnel de domaine est défini sur Windows 2000
natif ou ultérieur.
Groupes de distribution Vous pouvez utiliser des groupes de distribution uniquement avec des
applications de messagerie, telles que Microsoft Exchange, pour envoyer des
messages à un ensemble d'utilisateurs. La sécurité n'est pas activée sur les
groupes de distribution, ce qui signifie qu'ils ne peuvent pas être répertoriés
dans des listes de contrôle d'accès discrétionnaire (DACL, Discretionary Access
Control List). Pour contrôler l'accès aux ressources partagées, créez un groupe
de sécurité.
Groupes de sécurité Vous utilisez des groupes de sécurité pour affecter des droits et des
autorisations aux groupes d'utilisateurs et d'ordinateurs. Les droits déterminent
les fonctions que les membres d'un groupe de sécurité peuvent effectuer dans un
domaine ou une forêt. Les autorisations déterminent quelles ressources sont
accessibles à un membre d'un groupe sur le réseau.
Une méthode d'utilisation efficace des groupes de sécurité consiste à utiliser
l'imbrication, c'est à dire, ajouter un groupe à un autre groupe. Le groupe
imbriqué hérite des autorisations du groupe dont il est membre, ce qui simplifie
l'affectation en une fois des autorisations à plusieurs groupes, et réduit le trafic
que peut engendrer la réplication de l'appartenance à un groupe. Dans un
domaine en mode mixte, vous ne pouvez pas imbriquer des groupes possédant
la même étendue de groupe.
Les groupes de distribution et de sécurité prennent en charge l'une des trois
étendues de groupe suivantes : locale de domaine, globale ou universelle. Le
niveau fonctionnel de domaine détermine le type de groupe que vous pouvez
créer. En mode Windows 2000 mixte, vous ne pouvez pas créer de groupes de
sécurité universels.

6 Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Définition des groupes locaux de domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Introduction Un groupe local de domaine est un groupe de sécurité ou de distribution qui
peut contenir des groupes universels, des groupes globaux ou d'autres groupes
locaux de domaine issus de ses propres domaines et comptes dans la forêt. Dans
les groupes de sécurité locaux de domaine, vous pouvez accorder des droits et
autorisations sur des ressources qui résident uniquement dans le même domaine
que celui où se trouve le groupe local de domaine.
Par exemple, vous pouvez créer un groupe de sécurité local de domaine nommé
Setup et accorder des autorisations de groupe à un partage nommé Setup sur
l'un des serveurs membres du domaine. Vous pouvez ajouter des groupes
globaux ou universels en tant que membres du groupe local de domaine Setup.
Les membres auront alors l'autorisation d'accéder au dossier partagé Setup.
Appartenance au groupe Les règles suivantes s'appliquent à l'appartenance au groupe local de domaine,
local de domaine, ainsi qu'à l'étendue et aux autorisations du groupe local de domaine :
étendue et autorisations
! Appartenance. En mode Windows 2000 mixte, les groupes locaux de
domaine peuvent contenir des comptes d'utilisateurs et des groupes globaux
de n'importe quel domaine. En mode Windows 2000 natif, les groupes
locaux de domaine peuvent contenir des comptes d'utilisateurs, des groupes
globaux, des groupes universels de n'importe quel domaine approuvé et des
groupes locaux de domaine issus du même domaine.
! Peut être membre de. En mode Windows 2000 mixte, un groupe local de
domaine ne peut pas être membre de n'importe quel groupe. En mode
Windows 2000 natif, un groupe local de domaine peut être membre de
groupes locaux de domaine issus du même domaine.
! Étendue. Un groupe local de domaine est visible uniquement dans son
propre domaine.
! Autorisation. Vous pouvez affecter une autorisation qui s'applique au
domaine dans lequel le groupe local de domaine existe.

Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs 7

À quel moment utiliser Utilisez un groupe local de domaine lorsque vous souhaitez affecter des
des groupes locaux de autorisations d'accès à des ressources qui se situent dans le même domaine que
domaine celui dans lequel vous créez le groupe local de domaine. Vous pouvez ajouter
des groupes globaux partageant les mêmes ressources au groupe local de
domaine approprié.

8 Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Définition des groupes globaux

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Introduction Un groupe global est un groupe de sécurité ou de distribution qui peut contenir
des utilisateurs, des groupes et des ordinateurs comme membres de son propre
domaine. Vous pouvez accorder des droits et autorisations à des groupes de
sécurité globaux pour des ressources situées dans n'importe quel domaine de
la forêt.
Utilisez un groupe global pour organiser des utilisateurs qui partagent les
mêmes tâches professionnelles et ont des conditions d'accès réseau similaires,
tels que tous les comptables du service comptabilité d'une organisation.
Appartenance au groupe Les règles suivantes s'appliquent à l'appartenance au groupe global, ainsi qu'à
global, étendue et l'étendue et aux autorisations du groupe global :
autorisations
! Appartenance. En mode Windows 2000 mixte, un groupe global peut
contenir des comptes d'utilisateurs du même domaine. En mode
Windows 2000 natif et en mode Windows Server 2003, des groupes
globaux peuvent contenir des comptes d'utilisateurs et des groupes
globaux issus du même domaine.
! Peut être membre de. En mode Windows 2000 mixte, un groupe global
peut être membre des groupes locaux de domaine dans n'importe
quel groupe approuvé. En mode Windows 2000 mixte et en mode
Windows Server 2003, un groupe global peut être membre de groupes
universels et de groupes locaux de domaine dans n'importe quel domaine
et être également membres de groupes globaux dans le même domaine.
! Étendue. Un groupe global est visible dans son domaine et tous les
domaines approuvés, ce qui inclut tous les domaines de la forêt.
! Autorisations. Vous pouvez affecter une autorisation à un groupe global qui
s'applique à tous les domaines approuvés.

de groupes et d'ordinateurs 9 À quel moment utiliser Les groupes globaux étant visibles dans toute la forêt. Un groupe local de domaine est plus approprié pour contrôler l'accès d'un utilisateur aux ressources situées dans un domaine unique. . ne les créez pas dans le des groupes globaux but de permettre aux utilisateurs d'accéder à des ressources spécifiques à un domaine. Utilisez les groupes globaux pour organiser des utilisateurs ou des groupes d'utilisateurs. Module 4 : Implémentation de comptes d'utilisateurs.

En mode Windows 2000 natif. un groupe universel peut être membre de groupes locaux de domaine et de groupes universels de n'importe quel domaine. Vous ne pouvez pas créer de groupes de sécurité universels en mode Windows 2000 mixte.10 Module 4 : Implémentation de comptes d'utilisateurs. vous pouvez affecter des autorisations aux ressources connexes dans plusieurs domaines. Un domaine Windows Server 2003 doit être en mode Windows 2000 natif ou en mode Windows Server 2003 pour utiliser des groupes de sécurité universels. Les groupes universels sont visibles dans tous les domaines de la forêt. Vous pouvez utiliser des groupes de distribution universels dans un domaine Windows Server 2003 en mode Windows 2000 mixte ou ultérieur. Appartenance au groupe Les règles suivantes s'appliquent à l'appartenance au groupe universel. ! Autorisations. ! Étendue. De cette manière. Les groupes de sécurité universels peuvent bénéficier de droits et autorisations sur des ressources situées dans n'importe quel domaine de la forêt. étendue et qu'à l'étendue et aux autorisations du groupe universel : autorisations ! Appartenance. ! Peut être membre de. Le groupe universel ne s'applique pas au mode Windows 2000 mixte. des groupes universels peuvent contenir des comptes d'utilisateurs. ainsi universel. À quel moment utiliser Utilisez les groupes universels lorsque vous souhaitez imbriquer des des groupes universels groupes globaux. . des groupes globaux et d'autres groupes universels de n'importe quel domaine de la forêt. Vous pouvez affecter une autorisation à un groupe universel qui s'applique à tous les domaines de la forêt. En mode Windows 2000 natif et en mode Windows Server 2003. des groupes et des ordinateurs comme membres d'un domaine de sa forêt. de groupes et d'ordinateurs Définition des groupes universels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Un groupe universel est un groupe de sécurité ou de distribution qui peut contenir des utilisateurs.

vous serez à même d'effectuer les tâches suivantes : ! décrire les outils permettant de créer et gérer plusieurs comptes . Module 4 : Implémentation de comptes d'utilisateurs. Objectifs de la leçon À la fin de cette leçon. ! utiliser l'outil de ligne de commande Csvde pour créer des comptes . ! utiliser l'outil de ligne de commande Ldifde pour créer et gérer des comptes . de groupes et d'ordinateurs 11 Leçon : Création et gestion de plusieurs comptes ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Cette leçon décrit les différents outils de ligne de commande que vous pouvez utiliser pour créer et gérer plusieurs comptes d'utilisateurs. ! créer et gérer des comptes à l'aide de l'environnement d'exécution de scripts Windows. .

Certains de ces outils nécessitent l'utilisation d'un fichier texte qui contient des informations sur les comptes d'utilisateurs que vous souhaitez créer. Il convient de l'utiliser lorsque vous gérez un petit nombre de comptes. Utilisez la commande dsrm group pour supprimer un compte de groupe. utilisez la commande dsadd user pour créer un compte d'utilisateur. d'ordinateurs et de groupes dans Active Directory. Par exemple. modifier ou supprimer.12 Module 4 : Implémentation de comptes d'utilisateurs. Outils de service Vous pouvez également utiliser les outils de ligne de commande Dsadd. Vous devez spécifier le type d'objet que vous souhaitez créer. Bien que les outils Directory Service permettent de créer un seul objet Active Directory à la fois. d'ordinateurs et de groupes. . Dsmod d'annuaire et Dsrm pour gérer des comptes d'utilisateurs. Utilisateurs et La console Utilisateurs et ordinateurs Active Directory est un composant ordinateurs Active logiciel enfichable MMC que vous pouvez utiliser pour gérer des comptes Directory d'utilisateurs. de groupes et d'ordinateurs Outils permettant de créer et gérer plusieurs comptes ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Windows Server 2003 procure de nombreux outils et composants logiciels enfichables MMC (Microsoft Management Console) pour créer automatiquement plusieurs comptes d'utilisateurs dans Active Directory. Vous pouvez également créer des scripts pour ajouter ou modifier des objets dans Active Directory. vous pouvez les utiliser dans des fichiers de commandes et des scripts.

. Incluez autant d'informations sur le compte d'utilisateur que possible afin que les utilisateurs puissent effectuer des recherches dans Active Directory . Un enregistrement décrit un objet annuaire unique ou un ensemble de modifications apportées aux attributs d'un objet existant. modifier et supprimer des objets Active Directory. Si vous ne spécifiez aucune valeur. ou lorsque les critères de sélection de ces objets sont complexes. désactivez les comptes d'utilisateurs jusqu'à ce que les utilisateurs commencent à se connecter. Outil Ldifde L'outil de ligne de commande Ldifde utilise un format à valeurs séparées par des lignes pour créer. telle que Microsoft Excel ou Microsoft Word. utilisez une application qui possède de bonnes capacités d'édition. Enregistrez ensuite le fichier en tant que fichier texte séparé par des virgules. le compte est désactivé . Les conditions requises pour le fichier d'entrée sont identiques à celles de l'outil de ligne de commande Csvde. La plupart des applications de base de données peuvent créer des fichiers que vous pouvez importer dans l'un de ces formats. Environnement Vous pouvez créer des scripts d'environnement d'exécution de scripts Windows d'exécution de scripts qui utilisent des interfaces ADSI (Active Directory Service Interfaces) pour Windows créer. Étant donné qu'un mot de passe vide permet à une personne non autorisée d'accéder au réseau grâce au seul nom d'ouverture de session de l'utilisateur. ! ne peut pas inclure de mots de passe. Un fichier d'entrée Ldifde se compose d'une série d'enregistrements séparés par une ligne vierge. et se compose d'une ou plusieurs lignes dans le fichier. ! peut inclure des informations personnelles. Module 4 : Implémentation de comptes d'utilisateurs. et le nom d'ouverture de session de l'utilisateur (pour Microsoft Windows NT 4. le type d'objet. Vous ne pouvez pas utiliser le format Csvde pour supprimer ou modifier des objets dans Active Directory. comme entrée pour créer plusieurs comptes dans Active Directory. modifier et supprimer des objets dans Active Directory. Pour modifier et formater le fichier texte d'entrée. de groupes et d'ordinateurs 13 Outil Csvde L'outil de ligne de commande Csvde utilise un fichier texte séparé par des virgules. assurez-vous que le fichier est correctement formaté. Avant d'importer un fichier Csvde. par exemple des numéros de téléphone ou des adresses personnelles. également appelé format valeurs séparées par des virgules (format Csvde). Utilisez des scripts lorsque vous souhaitez modifier la valeur des attributs pour plusieurs objets Active Directory. qui est le compte d'utilisateur. Vous pouvez exporter des données d'Active Directory vers une feuille de calcul Excel ou importer des données d'une feuille de calcul vers Active Directory. Vous devez utiliser le format Csvde pour ajouter des objets utilisateur et d'autres types d'objets à Active Directory.0 et ultérieur) . Le fichier d'entrée : ! doit inclure le chemin d'accès au compte d'utilisateur dans Active Directory. Une importation en bloc laisse le mot de passe vide pour les comptes d'utilisateur. ! doit inclure le suffixe UPN (User Principal Name) et indiquer si le compte d'utilisateur est activé ou non.

Il s'agit de la première ligne du fichier. displayName. Formatez le fichier de sorte qu'il contienne les informations suivantes : • La ligne d'attribut. mettez-la entre guillemets. ils doivent être séparés par des virgules. Vous pouvez placer les attributs dans n'importe quel ordre. . Les règles suivantes s'appliquent aux valeurs contenues dans une ligne de compte d'utilisateur : • les valeurs doivent suivre l'ordre de la ligne d'attribut . Le code suivant est un exemple de ligne d'attribut : DN. • s'il manque une valeur pour un attribut.14 Module 4 : Implémentation de comptes d'utilisateurs. mais insérez toutes les virgules . le fichier d'importation contient une ligne qui précise la valeur de chaque attribut de la ligne d'attribut. Créez le fichier Csvde à importer. de groupes et d'ordinateurs Comment créer des comptes à l'aide de l'outil Csvde ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Vous pouvez utiliser l'outil de ligne de commande Csvde pour créer plusieurs comptes dans Active Directory.userAccountControl • Lignes de comptes d'utilisateurs. Pour chaque compte d'utilisateur que vous créez. • si une valeur contient des virgules.objectClass. en aucun cas pour les modifier.sAMAccountName. Vous pouvez utiliser l'outil Csvde uniquement pour créer des comptes. effectuez les tâches suivantes : 1. laissez-la vierge.userPrincipalName. Elle précise le nom de chaque attribut que vous souhaitez définir pour les nouveaux comptes d'utilisateurs. Procédure Pour créer des comptes à l'aide de l'outil de ligne de commande Csvde.

Dans ce cas. utilisez une valeur de 514 pour l'attribut userAccountControl.laurab.) objectClass user sAMAccountName laurab userPrincipalName laurab@contoso.ou=Human Resources.dc=contoso. 2.msft displayName Laura Bartoli userAccountControl 514 (La valeur 514 désactive le compte d'utilisateur. dc=asia. puis activez le compte à l'aide de l'environnement d'exécution de scripts Windows ou de la console Utilisateurs et ordinateurs Active Directory.dc=msft (Cela spécifie le chemin d'accès à l'unité d'organisation qui contient le compte d'utilisateur. Laura Bartoli. Module 4 : Implémentation de comptes d'utilisateurs.user.dc=msft". laurab@contoso. .ou=Human Resources. Exécutez la commande csvde en tapant la commande suivante à l'invite de commandes : csvde –i –f nom_fichier –b Nom_Utilisateur Domaine Mot_de_Passe où : -i indique que vous importez un fichier dans Active Directory -f indique que le paramètre qui suit est le nom du fichier que vous importez –b définit la commande à exécuter comme nom_utilisateur. domaine et mot_de_passe. qui désactive le compte d'utilisateur. de groupes et d'ordinateurs 15 Le code suivant est un exemple de ligne du compte d'utilisateur : "cn=Laura Bartoli. Attribut Valeur DN (nom unique) cn=Laura Bartoli. Important Vous ne pouvez pas utiliser Csvde pour créer des comptes d'utilisateurs activés si la stratégie du mot de passe du domaine exige une longueur minimale ou des mots de passe complexes.514 Ce tableau fournit les attributs et valeurs de l'exemple précédent.msft.) Les attributs de ce tableau sont les attributs minimaux requis pour exécuter csvde.dc=contoso. dc=asia. tandis que la valeur 512 l'active.

. de groupes et d'ordinateurs La commande csvde procure des informations sur l'état de la réussite ou de l'échec du processus. utilisez la console Utilisateurs et ordinateurs Active Directory pour vérifiez certains comptes d'utilisateurs que vous avez créés afin de vous assurer qu'ils contiennent toutes les informations que vous avez fournies. Consultez également Aide et Support Windows Server 2003. Elle répertorie également le nom du fichier à afficher pour obtenir des informations détaillées sur l'erreur.16 Module 4 : Implémentation de comptes d'utilisateurs. Remarque Pour obtenir des informations sur les options courantes avec l'outil de ligne de commande Csvde. consultez la rubrique « Comment créer des comptes à l'aide de l'outil Csvde » du Module 4 dans la page des annexes sur le CD-ROM du stagiaire. Même si les informations sur l'état indiquent que le processus a réussi.

elle doit être représentée comme Description_Attribut « : » FILL SEP.ou= Human Resources. Formatez le fichier Ldifde afin qu'il contienne un enregistrement qui se compose d'une suite de lignes qui décrivent une entrée pour un compte d'utilisateur ou un ensemble de modifications sur un compte d'utilisateur dans Active Directory.dc=msft Changetype: Add objectClass: user sAMAccountName: laurab userPrincipalName: laurab@contoso. Module 4 : Implémentation de comptes d'utilisateurs. procédez comme suit : 1.dc=contoso. Procédure Pour créer des comptes à l'aide de l'outil de ligne de commande Ldifde. de groupes et d'ordinateurs 17 Comment créer et gérer des comptes à l'aide de l'outil Ldifde ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Vous pouvez utiliser l'outil de ligne de commande Ldifde pour créer et modifier plusieurs comptes. L'entrée du compte d'utilisateur précise le nom de chaque attribut que vous souhaitez définir pour le nouveau compte d'utilisateur. Pour chaque compte d'utilisateur que vous créez. Le schéma Active Directory définit le nom des attributs.msft displayName: Laura Bartoli userAccountControl: 514 . dc=asia. Préparez le fichier Ldifde à importer. le fichier contient une ligne qui précise la valeur de chaque attribut de la ligne d'attribut. • s'il manque une valeur pour un attribut. Les règles suivantes s'appliquent aux valeurs de chaque attribut : • toute ligne qui commence par un signe dièse (#) est une ligne de commentaire et est ignorée lorsque vous exécutez le fichier Ldifde . Le code suivant est un exemple d'entrée dans un fichier d'importation Ldifde : # Créer Laura Bartoli dn: cn=Laura Bartoli.

de groupes et d'ordinateurs Le tableau suivant fournit les attributs et valeurs de l'exemple précédent.dc=contoso. -f spécifie le nom de fichier d'importation ou d'exportation. ou=Human Resources. le mode par défaut est exportation. tapez la commande suivante : ldifde –i –k –f nom_fichier -b Nom_Utilisateur Domaine Mot_de_Passe où : -i spécifie le mode d'importation. dc=asia.) Changetype Add objectClass user sAMAccountName laurab userPrincipalName laurab@contoso. le nom de domaine et le mot de passe du compte d'utilisateur qui seront utilisés pour effectuer l'opération d'importation ou d'exportation.dc=msft (Cette valeur spécifie le chemin d'accès au conteneur de l'objet. Exécutez la commande ldifde pour importer le fichier et créer plusieurs comptes d'utilisateurs dans Active Directory.18 Module 4 : Implémentation de comptes d'utilisateurs. À l'invite de commandes. .msft displayName Laura Bartoli userAccountControl 512 2. Attribut Valeur de l'attribut # Créer Laura Bartoli (Le caractère # indique que cette ligne est un commentaire. Si celui-ci n'est pas spécifié. -k permet de ne pas tenir compte des erreurs durant une opération d'importation et de poursuivre le traitement. -b spécifie le nom d'utilisateur.) DN cn=Laura Bartoli.

vbs. "myerken" d.dc=com") Important Dans l'exemple précédent. Procédure de création Pour créer un objet Active Directory. objUser. Créez l'objet Active Directory et spécifiez la classe et le nom de l'objet. tel qu'un compte d'utilisateur dans un d'un objet Active domaine. objUser. b. Inscrivez les informations dans la base de données Active Directory.Create("User".SetInfo . Le processus de création d'un objet Active Directory compte quatre étapes. Module 4 : Implémentation de comptes d'utilisateurs. Utilisez le Bloc-notes pour créer un fichier texte avec une extension . puis enregistrez-le. procédez comme suit : Directory 1. sans quoi la commande échoue. "cn=MyerKen") c. Définissez les propriétés de l'objet Active Directory. LDAP doit être inscrit en lettres majuscules. Set objUser = objOU. comme l'indique la procédure suivante.Put "sAMAccountName". Set objOU = GetObject("LDAP://ou=management. Connectez-vous au conteneur dans lequel vous souhaitez créer l'objet Active Directory en spécifiant la requête LDAP (Lightweight Directory Access Protocol). a. de groupes et d'ordinateurs 19 Comment créer et gérer des comptes à l'aide de l'environnement d'exécution de scripts Windows ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Vous pouvez créer des objets Active Directory à partir de scripts d'environnement d'exécution de scripts Windows à l'aide d'une interface ADSI.dc=fabrikam. Placez les commandes suivantes dans le fichier.

Put "physicalDeliveryOfficeName". comme illustré dans l'exemple de code suivant : objUser. Exécutez le script en tapant la commande suivante à l'invite de commandes : Wscript.vbs. À l'aide d'une invite de commandes. vous ne pouvez pas activer le compte ni définir son mot de passe. .ChangePassword "". 5. Inscrivez la modification dans Active Directory.AccountDisabled = FALSE objUser. exécutez le script en tapant la commande suivante : wscript. consultez la rubrique « Comment créer et gérer des comptes à l'aide de l'environnement d'exécution de scripts Windows » du Module 4 dans la page des annexes sur le CD-ROM du stagiaire.dc=msft") 2. Remarque Pour qu'un exemple de script crée un compte d'utilisateur. Procédure de Pour modifier la valeur d'une propriété d'un objet Active Directory. Par exemple. Définissez la nouvelle valeur de la propriété.vbs. Enregistrez le fichier avec l'extension . "jl3R86df" objUser. 2. "Room 4358" 3. 1. objUser. Set objUser = GetObject _ ("LDAP://cn=myerken.20 Module 4 : Implémentation de comptes d'utilisateurs. ajoutez les commandes suivantes au fichier. Vous ne pouvez définir ces propriétés qu'après avoir créé l'objet. Enregistrez le fichier avec l'extension . de groupes et d'ordinateurs Les propriétés de certains objets Active Directory ne peuvent pas être définies lors de leur création.exe nom_fichier où nom_fichier est le nom du fichier de script que vous avez créé à l'étape précédente. par exemple le nouveau numéro de bureau d'un employé qui a été muté.ou=TestOU.SetInfo 4. objUser. puis exécutez le fichier de script en le démarrant à l'invite de commandes.exe nom_fichier où nom_fichier est le nom du fichier de script que vous avez créé à l'étape précédente. lorsque vous créez un compte d'utilisateur.dc=nwtraders. Connectez-vous à l'objet dont la propriété sera modifiée. tel que le modification de la valeur numéro de téléphone d'un utilisateur.SetInfo e. ouvrez le Bloc-notes pour créer un fichier d'une propriété texte.

Microsoft Visual Basic Scripting Edition and Microsoft Windows Script Host Essentials (en anglais).microsoft.com/technet/treeview/default.asp (en anglais). de groupes et d'ordinateurs 21 Remarque Pour plus d'informations sur la création de scripts d'administration à l'aide de l'environnement d'exécution de scripts Windows.Module 4 : Implémentation de comptes d'utilisateurs.asp?url=/technet/scriptcenter/ default. . consultez le site Web de Microsoft TechNet Script Center à l'adresse suivante : www. Consultez également le Cours 2433.

Tapez le script pour créer le compte d'utilisateur. La norme actuelle chez Northwind Traders consiste à utiliser le prénom de l'utilisateur et les trois premières lettres de son nom de famille. Suzanne Duprez. 2.22 Module 4 : Implémentation de comptes d'utilisateurs. Dans la zone Types de fichiers. b. d. Scénario La société Northwind Traders a engagé un nouveau commercial. Ouvrez le Bloc-notes. de groupes et d'ordinateurs Application pratique : Création de comptes d'utilisateurs ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Objectifs Dans cette application pratique. sélectionnez Tous les fichiers. Utilisez le Bloc-notes pour créer un fichier de script qui contient des commandes pour créer le nouveau compte d'utilisateur. c. Dans le menu Fichier.vbs e. . Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser avec le mot de passe P@ssw0rd. procédez comme suit : 1. Dans la zone Nom de fichier. Cliquez sur Enregistrer. a. Vous devez lui créer un nom d'ouverture de session utilisateur. f. Application pratique Pour créer le compte d'utilisateur. vous allez créer et exécuter un fichier de script qui contient des commandes pour créer un compte d'utilisateur. cliquez sur Enregistrer sous. Vous utiliserez un environnement d'exécution de scripts Windows pour créer ce compte d'utilisateur dans l'unité d'organisation Votre_Ordinateur\Sales. tapez createusers. puis vous vérifierez que le compte d'utilisateur a été créé.

Voici un exemple de fichier de réponse. "SuzanneDup" objUser. Cliquez sur Démarrer. À l'invite de commandes. b. puis cliquez sur Exécuter en tant que. d. a. "P@ssw0rd" objUser.Put "sAMAccountName".dc=msft" ) Set objUser = objOU.vbs. tapez wscript. cliquez sur Sales. a. cliquez sur L'utilisateur suivant. Dans la boîte de dialogue Exécuter en tant que.vbs. "SuzanneDup@nwtraders1. Exécutez le fichier de script.SetInfo objUser. "cn=SuzanneDup") objUser.msft" objUser. de groupes et d'ordinateurs 23 3. 4. observez les comptes d'utilisateurs répertoriés. puis cliquez sur OK. Utilisez la console Utilisateurs et ordinateurs Active Directory pour vérifier que l'utilisateur a été créé.exe createusers.Create("User". cliquez avec le bouton droit sur Invite de commandes.Module 4 : Implémentation de comptes d'utilisateurs.ChangePassword "".OU=Vancouver.dc=nwtraders1. c. Dans le volet d'informations. Changez le répertoire pour le dossier dans lequel vous avez enregistré le fichier createusers. c.SetInfo .AccountDisabled = FALSE objUser. Set objOU = GetObject("LDAP://OU=Sales. Ouvrez la console Utilisateurs et ordinateurs Active Directory. tapez Votre_Domaine\Administrateur comme nom d'utilisateur avec le mot de passe P@ssw0rd. Dans l'arborescence de la console. b.Put "userPrincipalName".

24 Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Leçon : Implémentation des suffixes UPN

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Introduction Cette leçon décrit le rôle des suffixes UPN (User Principal Names). Elle
explique comment un suffixe UPN est acheminé dans un environnement
approuvé et comment créer, supprimer, activer, désactiver et exclure le routage
des suffixes de noms dans des approbations entre forêts.
Objectifs de la leçon À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
! décrire le rôle d'un UPN ;
! expliquer le routage d'un suffixe UPN dans un environnement approuvé ;
! expliquer comment les conflits de suffixes de noms sont détectés et résolus ;
! créer et supprimer un suffixe UPN ;
! activer, désactiver et exclure le routage des suffixes de noms dans des
approbations entre forêts.

Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs 25

Définition d'un nom d'utilisateur principal

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Introduction Dans un réseau Windows Server 2003, un utilisateur peut ouvrir une session à
l'aide d'un nom d'utilisateur principal ou d'un nom d'ouverture de session
d'utilisateur (Windows NT 4.0 et ultérieur). Les contrôleurs de domaine peuvent
utiliser le nom d'utilisateur principal ou le nom d'ouverture de session de
l'utilisateur pour authentifier la requête d'ouverture de session.
Définition d'un nom Un nom d'utilisateur principal est un nom d'ouverture de session qui est utilisé
d'utilisateur principal uniquement pour ouvrir une session sur un réseau Windows Server 2003.
Ce nom est également appelé nom d'ouverture de session de l'utilisateur.
Le nom d'utilisateur principal se compose de deux parties séparées par le
signe @, par exemple laurab@contoso.msft :
! le préfixe du nom d'utilisateur principal qui, dans cet exemple, est laurab ;
! le suffixe du nom d'utilisateur principal qui, dans cet exemple, est
contoso.msft. Par défaut, le suffixe est le nom du domaine dans lequel le
compte d'utilisateur a été créé. Vous pouvez utiliser les autres domaines du
réseau ou des suffixes supplémentaires que vous avez créés pour configurer
d'autres suffixes pour les utilisateurs. Par exemple, vous pouvez configurer
un suffixe pour créer des noms d'ouverture de session utilisateur qui
correspondent à l'adresse électronique de l'utilisateur.

Avantages liés à L'utilisation du nom d'utilisateur principal offre les avantages suivants :
l'utilisation du nom
d'utilisateur principal ! Il ne change pas lorsque vous déplacez un compte d'utilisateur vers un
domaine différent car le nom est unique dans la forêt Active Directory.
! Il peut être identique à l'adresse électronique de l'utilisateur car il a le même
format qu'une adresse de messagerie standard.

26 Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Règles d'unicité des Les noms d'ouverture de session utilisateur pour des comptes d'utilisateurs de
noms d'ouverture de domaine doivent respecter les règles d'unicité suivantes dans Active Directory :
session utilisateur
! le nom complet doit être unique dans le conteneur dans lequel vous créez le
compte d'utilisateur ; le nom complet est utilisé comme nom unique ;
! le nom d'utilisateur principal doit être unique dans la forêt.

Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs 27

Présentation multimédia : Fonctionnement du routage des suffixes
de noms

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Emplacement de fichier Pour commencer la présentation Fonctionnement du routage des suffixes
de noms, ouvrez la page Web sur le CD-ROM du stagiaire, cliquez sur
Multimédia, puis sur le titre de la présentation. N'ouvrez pas cette présentation
avant d'y être invité par l'instructeur.
Objectifs À la fin de cette présentation, vous serez à même d'expliquer le fonctionnement
du routage des suffixes de noms dans Active Directory.
Points clés Le routage des suffixes de noms est un mécanisme fournissant une résolution
de noms entre forêts. Celles-ci peuvent contenir plusieurs suffixes de noms.
Lorsque deux forêts Windows Server 2003 sont connectées par une approbation
de forêt, les suffixes des noms de domaines qui existent dans les deux
forêts routent les requêtes d'authentification. C'est pourquoi, toute requête
d'authentification émise de la Forêt A vers un suffixe qui réside dans la Forêt
B est routée avec succès vers sa ressource cible.
Les suffixes de noms qui n'existent pas dans une forêt peuvent être routés vers
une deuxième forêt. Lorsqu'un nouveau domaine enfant (par exemple,
enfant.contoso.com) est ajouté à un suffixe de domaine de second niveau (par
exemple, contoso.com), le domaine enfant hérite de la configuration de routage
du domaine de second niveau auquel il appartient.
Tout nouveau suffixe de nom de second niveau que vous créez après avoir
établi une approbation de forêt est visible dans la boîte de dialogue Propriétés
pour cette approbation. Cependant, le routage des suffixes pour les
arborescences de domaine que vous créez après l'établissement de l'approbation
est désactivé par défaut. Vous devez activer manuellement le routage pour ces
suffixes. Lorsque Active Directory détecte un suffixe de nom dupliqué, le
routage du suffixe le plus récent est désactivé par défaut. Vous pouvez utiliser
la boîte de dialogue Propriétés pour activer ou désactiver manuellement le
routage des suffixes de noms individuels.

28 Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Détection et résolution des conflits de suffixes de noms

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Introduction Lorsque deux forêts Windows Server 2003 sont reliées par une approbation de
forêt, un suffixe de nom de second niveau ou un suffixe UPN qui existe dans l'une
des forêts peut « entrer en collision » avec un suffixe de nom similaire dans la
deuxième forêt. Grâce à la détection de collisions, l'Assistant Nouvelle
approbation garantit qu'une seule forêt fait autorité pour un suffixe de nom donné.
Détection des collisions L'Assistant Nouvelle approbation détecte les conflits de suffixes de noms
lorsque l'une des situations suivante se produit :
! le même nom DNS (Domain Name System) est déjà utilisé ;
! le même nom NetBIOS est déjà utilisé ;
! un ID de sécurité du domaine (SID) est en conflit avec le SID d'un autre
suffixe de nom.

Supposons, par exemple, que vous souhaitiez établir une approbation de forêt
bidirectionnelle entre les forêts contoso.com et fabrikam.com. Les forêts
contoso.com et fabrikam.com ont le même suffixe UPN : nwtraders.msft.
Lorsque vous créez l'approbation de forêt bidirectionnelle, l'Assistant Nouvelle
approbation détecte et affiche le conflit entre les deux suffixes de noms UPN.

Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs 29

Résolution des conflits L'Assistant Nouvelle approbation désactive automatiquement un suffixe de nom
de domaine de second niveau si un suffixe identique existe dans une deuxième
forêt. Par exemple, un conflit survient si l'une des forêts s'appelle fabrikam.com
et l'autre s'appelle ventes.fabrikam.com.
Lorsque l'Assistant Nouvelle approbation détecte un conflit de suffixes de
noms, il refuse l'accès à ce domaine depuis l'extérieur de la forêt. Cependant,
l'accès au domaine depuis l'intérieur de la forêt fonctionne normalement.
Par exemple, si le domaine fabrikam.com existe dans les forêts contoso.com et
nwtraders.msft, les utilisateurs de la forêt contoso.com peuvent accéder aux
ressources présentes dans le domaine fabrikam.com qui réside dans la forêt
contoso.com. Cependant, les utilisateurs de la forêt contoso.com n'ont pas accès
aux ressources présentes dans le domaine fabrikam.com qui est situé dans la
forêt nwtraders.msft.
Lorsque l'Assistant Nouvelle approbation détecte un conflit de suffixes de
noms, il vous invite à enregistrer un fichier journal du conflit. Il répertorie
ensuite les conflits dans la boîte de dialogue Propriétés Nom d'approbation de
forêt sous l'onglet Routage des suffixes de noms, dans la colonne Routage.

30 Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Comment créer et supprimer un suffixe UPN

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Introduction Lorsque vous utilisez un suffixe de nom d'utilisateur principal, vous simplifiez
les processus d'administration et d'ouverture de session utilisateur en procurant
un suffixe UPN pour tous les utilisateurs. Lors de la création d'un compte
d'utilisateur, vous pouvez sélectionner un suffixe UPN. Si ce suffixe n'existe
pas, vous pouvez l'ajouter à l'aide de la console Domaines et approbations
Active Directory, à condition que vous soyez membre du groupe prédéfini
Administrateurs de l'entreprise.
Procédure d'ajout d'un Pour ajouter un suffixe UPN, procédez comme suit :
suffixe UPN
1. Ouvrez la console Domaines et approbations Active Directory.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur Propriétés.
3. Sous l'onglet Suffixes UPN, tapez un autre suffixe UPN, puis cliquez sur
Ajouter.

Remarque Si vous créez un compte d'utilisateur à l'aide de l'environnement
d'exécution de scripts Windows ou autrement qu'avec la console Utilisateurs et
ordinateurs Active Directory, vous n'êtes pas limité par les suffixes UPN qui
sont stockés dans Active Directory. Vous pouvez affecter un suffixe lors de la
création du compte. Cependant, les suffixes que vous créez de cette façon ne
sont pas automatiquement routés sur les approbations de forêts.

Procédure de Pour supprimer un suffixe UPN, procédez comme suit :
suppression d'un
suffixe UPN 1. Dans l'arborescence de la console Domaines et approbation Active
Directory, cliquez avec le bouton droit sur Domaines et approbations
Active Directory, puis cliquez sur Propriétés.
2. Sous l'onglet Suffixes UPN, sélectionnez le suffixe UPN que vous souhaitez
supprimer, puis cliquez sur Supprimer.

Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs 31

Comment activer et désactiver le routage des suffixes de noms
dans des approbations de forêts

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Introduction Vous devez utilisez la console Domaines et approbations Active Directory pour
activer et désactiver le routage d'un suffixe de nom.
Procédure Pour activer ou désactiver le routage d'un suffixe de nom de second niveau,
procédez comme suit :
1. Dans l'arborescence de la console, cliquez avec le bouton droit sur le nœud
du domaine que vous souhaitez administrer, puis cliquez sur Propriétés.
2. Sous l'onglet Approbations, sous Domaines approuvés par ce domaine
(approbations sortantes) ou Domaines qui approuvent ce domaine
(approbations entrantes), cliquez sur l'approbation de forêt que vous
souhaitez administrer, puis cliquez sur Propriétés.
3. Sous l'onglet Routage des suffixes de noms, sous Suffixes de noms dans
la forêt <nom de la forêt>, cliquez sur le suffixe pour lequel vous souhaitez
activer ou désactiver le routage, puis cliquez sur Activer ou Désactiver.

Important Lorsque vous désactivez le routage d'un suffixe de domaine de
second niveau, vous désactivez également le routage de tous les suffixes de son
domaine enfant.

32 Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Pour modifier l'état du routage d'un suffixe de nom de troisième niveau ou de
niveau supérieur, procédez comme suit :
1. Dans l'arborescence de la console, cliquez avec le bouton droit sur le nœud
du domaine que vous souhaitez administrer, puis cliquez sur Propriétés.
2. Sous l'onglet Approbations, sous Domaines approuvés par ce domaine
(approbations sortantes) ou Domaines qui approuvent ce domaine
(approbations entrantes), cliquez sur l'approbation de forêt que vous
souhaitez administrer, puis cliquez sur Propriétés.
3. Sous l'onglet Routage des suffixes de noms, sous Suffixes de noms dans
la forêt <nom de la forêt>, cliquez sur le suffixe parent du suffixe dont vous
souhaitez modifier l'état du routage, puis cliquez sur Modifier.
4. Sous Suffixes de noms présents dans <nom de la forêt>, cliquez sur le
suffixe que vous souhaitez modifier, puis sur Activer ou Désactiver.

Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs 33

Application pratique : Création de suffixes UPN

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Objectifs Dans cette application pratique, vous allez créer un suffixe de nom pour un
domaine de second niveau, puis vous activerez le routage du suffixe de nom
entre deux forêts.
Scénario La société Northwind Traders possède une forêt de plusieurs domaines.
La société a choisi un nouveau nom de domaine, qui sera utilisé pour le nom
du site Web et de l'adresse électronique de la société. Vous devez ajouter le
nouveau suffixe puis activer le routage.
Application pratique ! Créer un suffixe de nom et activer le routage du suffixe
1. Créez un nouveau suffixe de nom pour un domaine de second niveau
nommé Votre_Prénom.msft.
a. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser avec
le mot de passe P@ssw0rd.
b. Utilisez Exécuter en tant que pour démarrer la console Domaines et
approbations Active en tant que Votre_Domaine\Administrateur avec
le mot de passe P@ssw0rd.
c. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur
Propriétés.
d. Sous l'onglet Suffixes UPN, tapez le suffixe UPN Votre_Prénom.msft,
cliquez sur Ajouter, puis sur OK.

34 Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs

2. Activez le routage des nouveaux suffixes de noms que vous avez créés dans
la forêt nwtraders.msft.
a. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur Se
connecter au contrôleur de domaine.
b. Dans la boîte de dialogue Se connecter au contrôleur de domaine,
dans la zone Domaine, tapez nwtraders.msft.
c. Cliquez sur OK, puis sur Oui.
d. Dans l'arborescence de la console, cliquez avec le bouton droit sur
nwtraders.msft, puis cliquez sur Propriétés.
e. Sous l'onglet Approbations, sous Domaines qui approuvent ce
domaine (approbations entrantes), cliquez sur nwtradersx.msft,
sur Propriétés, puis sur l'onglet Routage des suffixes de noms.
f. Dans la boîte de dialogue Active Directory, tapez le nom d'utilisateur
Administrateur et le mot de passe P@ssw0rd, puis cliquez sur OK.
g. Sous l'onglet Routage des suffixes de noms, sous Suffixes de noms
dans la forêt nwtradersx, cliquez sur Votre_Prénom.msft, sur Activer,
puis cliquez deux fois sur OK.

Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs 35

Leçon : Déplacement d'objets dans Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Introduction Cette leçon traite de l'historique SID et de l'implication du déplacement des
objets Active Directory. Elle explique également comment déplacer un objet
Active Directory entre deux conteneurs d'un même domaine, et entre deux
domaines d'une même forêt.
Objectifs de la leçon À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
! décrire le rôle d'un historique SID ;
! expliquer l'implication du déplacement d'objets dans Active Directory ;
! déplacer des objets dans un domaine ;
! déplacer des objets entre domaines ;
! afficher les propriétés des objets déplacés.

36 Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Définition de l'historique SID

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Introduction Lorsque vous déplacez un objet Active Directory, tel qu'un compte d'utilisateur,
les principes de sécurité associés à cet objet sont également déplacés. Active
Directory assure un suivi de ces principes de sécurité dans une liste intitulée
Historique SID.
Rôle d'un historique SID Un historique SID fournit à un utilisateur migré une continuité d'accès aux
ressources. Lors de la migration d'un compte d'utilisateur vers un autre
domaine, Active Directory lui affecte un nouveau SID. L'historique SID
conserve le SID du précédent compte d'utilisateur migré. Lorsque vous migrez à
plusieurs reprises un compte d'utilisateur, l'historique SID stocke une liste de
tous les identificateurs SID affectés à l'utilisateur. Il met ensuite à jour les
groupes et les listes de contrôle d'accès nécessaires avec le SID du nouveau
compte. Les appartenances aux groupes basées sur le SID de l'ancien compte
n'existent plus.

Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs 37

Implications du déplacement d'objets

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Introduction Pour que l'historique SID soit activé, le niveau fonctionnel du domaine doit être
défini sur Windows 2000 natif ou Windows Server 2003. L'historique SID est
désactivé si le niveau fonctionnel est défini sur Windows 2000 mixte. Lorsqu'un
objet est déplacé au sein d'un domaine, le SID ou l'identificateur unique global
(GUID, Globally Unique IDentifier) ne subissent aucune modification. Lorsque
vous déplacez un objet sur plusieurs domaines d'une même forêt, Active
Directory affecte un nouveau SID à l'objet mais conserve son GUID.
Implications sur la Un historique SID permet à des utilisateurs migrés d'accéder aux ressources
sécurité d'un situées dans leurs anciens domaines. Cependant, il permet également aux
historique SID utilisateurs de tromper l'accès aux autres domaines, c'est à dire donner l'illusion
qu'une transmission provient d'un utilisateur autorisé, en plaçant des SID
d'autres domaines dans l'historique SID de leurs comptes d'utilisateurs.
Vous pouvez vous protéger de tels comportements en appliquant un filtrage
des identificateurs SID aux relations approuvées.

Attention Le filtrage des identificateurs SID est conçu pour être utilisé sur des
approbations entre forêts ou sur des approbations externes. Son utilisation entre
domaines d'une même forêt représente une application erronée du filtrage des
identificateurs SID. Si vous mettez un domaine en quarantaine au sein d'une
même forêt, le filtrage des identificateurs SID supprimera les identificateurs
SID nécessaires à la réplication Active Directory. Le filtrage des identificateurs
SID peut également faire échouer l'authentification des utilisateurs issus de
domaines approuvés de façon transitive dans le domaine mis en quarantaine.

Pour empêcher qu'un compte d'utilisateur qui a été déplacé entre domaines
accède à des ressources avec des autorisations qui sont associées à l'attribut de
l'historique SID du compte, supprimez les informations relatives à l'historique
SID du compte d'utilisateur.

38 Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Remarque Pour plus d'informations sur la suppression d'un historique SID,
consultez l'article 295798 « Procédure d'utilisation de Visual Basic Script
pour effacer l'historique SID » dans la Base de connaissances Microsoft à
l'adresse suivante :
http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B295758
(en anglais).

Autres implications du Le déplacement d'objets dans Active Directory a également les implications
déplacement d'objets suivantes :
! les comptes d'utilisateurs qui ont des privilèges administratifs pour l'unité
d'organisation vers laquelle le compte est déplacé peuvent gérer les
propriétés du compte d'utilisateur déplacé ;
! les restrictions liées à la stratégie de groupe de l'unité d'organisation, du
domaine ou du site depuis lequel le compte d'utilisateur a été déplacé ne
s'appliquent plus au compte d'utilisateur ;
! les paramètres Stratégie de groupe du nouvel emplacement s'appliquent au
compte d'utilisateur.

Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs 39

Comment déplacer des objets au sein d'un domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Introduction Vous devez utiliser la console Utilisateurs et ordinateurs Active Directory pour
déplacer des objets dans un domaine.
Procédure Pour déplacer un objet dans un domaine, procédez comme suit :
! Dans le volet d'informations de la console Utilisateurs et ordinateurs Active
Directory, faites glissez l'objet sur le nouveau conteneur.

40 Module 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Comment déplacer des objets entre domaines

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************
Introduction Utilisez l'outil de migration Active Directory dans Windows Server 2003 pour
déplacer des objets entre domaines d'une même forêt ou entre domaines situés
dans des forêts différentes.
Procédure Pour migrer des utilisateurs ou des groupes d'un domaine vers un autre,
procédez comme suit :
1. Exécutez l'outil de migration Active Directory.

Remarque L'outil de migration Active Directory n'est pas installé par
défaut. Vous pouvez l'installer à partir du dossier \i386\ADMT sur le
CD-ROM Windows Server 2003.

2. Cliquez avec le bouton droit sur Outil de migration Active Directory, puis
sélectionnez l'Assistant pour l'objet que vous souhaitez migrer.
Par exemple, pour déplacer un compte d'utilisateur, cliquez sur Assistant
Migration des comptes d'utilisateurs.
3. Dans la page Bienvenue, cliquez sur Suivant.
4. Effectuez une migration test en procédant comme suit :
a. Dans la page Tester ou effectuer des changements, cliquez sur Tester
les paramètres de migration et effectuer celle-ci ultérieurement, puis
cliquez sur Suivant.
b. Dans la page Sélection du domaine, sélectionnez les domaines source et
cible, puis cliquez sur Suivant.
c. Dans la page Sélection de l'utilisateur, cliquez sur Ajouter, tapez le
nom de l'objet, cliquez sur OK, puis sur Suivant.
d. Dans la page Sélection de l'unité d'organisation, cliquez sur Parcourir,
sélectionnez le conteneur cible, cliquez sur OK, puis sur Suivant.

h. Dans la page Fin de l'Assistant Migration des comptes d'utilisateurs. cliquez sur Terminer. des profils et des paramètres de sécurité. i. puis cliquez sur Suivant.l. Effectuez une migration réelle en répétant les étapes 2 à 4. Si une boîte de dialogue d'avertissement apparaît. Dans la page Conflits de nommage. Dans la boîte de dialogue Avancées de la Migration. sélectionnez les options appropriées pour spécifier les actions qui seront prises en cas de conflit de noms. 5. sélectionnez Effectuer la migration maintenant à la place de Tester les paramètres de migration et effectuer celle-ci ultérieurement. . cliquez sur OK. de groupes et d'ordinateurs 41 e. À l'étape 4. f. Dans la page Options de l'utilisateur. g. cliquez sur Afficher le journal pour afficher le journal des erreurs. puis cliquez sur Suivant. Ces options déterminent la migration de l'appartenance au groupe. définissez les options de l'utilisateur.Module 4 : Implémentation de comptes d'utilisateurs.a.

exe. 6. cliquez sur Connect. Dans la fenêtre Ldap. 9. tapez ldp et cliquez sur OK. puis cliquez sur OK. dans la liste BaseDN. vérifiez les propriétés SID et Historique SID de l'objet. Dans le volet d'informations. Pour afficher ces informations. double-cliquez sur l'objet dont vous souhaitez afficher les propriétés. Cliquez sur Démarrer. Vous devez installer les outils de support de Windows depuis le dossier \Support\Tools sur le CD-ROM Windows Server 2003 avant de pouvoir utiliser Ldp.exe. dans le menu Connection. observez les propriétés de l'objet. Dans la boîte de dialogue Bind. 4. 5. un groupe ou un autre objet. dans la zone Server. cliquez sur Tree. 7. de groupes et d'ordinateurs Comment utiliser LDP pour afficher les propriétés des objets déplacés ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Après avoir déplacé un utilisateur. dans le menu Connection. . procédez comme suit : 1. Dans le menu View. Dans la boîte de dialogue Connect. Par exemple. tapez le nom de votre serveur. Dans la boîte de dialogue Ldap. sur Exécuter. 3. puis cliquez sur OK. 2. utilisez Ldp. tapez le nom d'utilisateur Administrateur. cliquez sur Bind. sélectionnez le nom de domaine approprié dans la liste. puis cliquez sur OK. vérifiez que ses propriétés ont été correctement mises à jour. Dans la boîte de dialogue Tree View. le mot de passe de l'administrateur et le nom du domaine que vous souhaitez examiner.42 Module 4 : Implémentation de comptes d'utilisateurs. Dans l'arborescence de la console. 8. Procédure Pour afficher les propriétés d'un objet déplacé.

une utilisatrice de votre domaine. a. l'historique SID et l'identificateur GUID de l'objet utilisateur de Suzanne Duprez dans l'unité d'organisation Votre_Ordinateur\Sales située dans le domaine hébergé par votre ordinateur stagiaire. Dans la boîte de dialogue Ldp. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser avec le mot de passe P@ssw0rd. Dans la boîte de dialogue Ldap. Module 4 : Implémentation de comptes d'utilisateurs. c. à l'historique SID et à l'identificateur GUID de l'objet utilisateur. Cliquez sur Démarrer. ! déplacer un objet utilisateur vers une autre unité d'organisation du même domaine .exe pour examiner l'identificateur SID. Scénario Votre organisation compte 2000 utilisateurs. tapez le nom de votre serveur. cliquez sur Connect. 2. Suzanne Duprez.exe pour afficher les modifications apportées à l'identificateur SID. b.exe pour examiner l'identificateur SID. . vous allez effectuer les tâches suivantes : ! utiliser Ldp. occupe un nouveau poste au sein de la société. Dans la boîte de dialogue Connection. cliquez sur Bind. dans le menu Connection. Vous devez déplacer son objet compte utilisateur pour qu'il corresponde à son nouveau rôle. puis cliquez sur OK. tapez ldp et appuyez sur ENTRÉE. de groupes et d'ordinateurs 43 Application pratique : Déplacement d'objets ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Objectifs Dans cette application pratique. dans la zone Server. ! utiliser Ldp. sur Invite de commandes. Utilisez Ldp. dans le menu Connection. d. l'historique SID et l'identificateur GUID d'un objet utilisateur . Application pratique ! Déplacer un compte d'utilisateur et afficher les modifications consécutives au déplacement 1.

g. _______________________________________________________ iii. a. Utilisez Exécuter en tant que pour démarrer la console Utilisateurs et ordinateurs Active Directory en tant que Votre_Domaine\Administrateur avec le mot de passe P@ssw0rd. double- cliquez sur Votre_Ordinateur. faites glissez l'objet utilisateur SuzanneDup de l'unité d'organisation Votre_Ordinateur\Sales vers l'unité d'organisation Votre_Ordinateur\HR. affichez les propriétés de l'objet. à l'historique SID ou à l'identificateur GUID du compte d'utilisateur suite à ce déplacement. Des modifications ont-elles été apportées à l'identificateur SID. Déplacez l'objet utilisateur de Suzanne Duprez dans l'unité d'organisation Votre_Ordinateur\HR de votre domaine. puis sur l'objet utilisateur de Suzanne Duprez. i. a. puis sur l'objet utilisateur de Suzanne Duprez. __________________________________________________________ __________________________________________________________ . _______________________________________________________ 3. h. sélectionnez votre nom de domaine. double-cliquez sur HR. de groupes et d'ordinateurs e. à l'historique SID et à l'identificateur GUID de l'objet utilisateur de Suzanne Duprez.44 Module 4 : Implémentation de comptes d'utilisateurs. dans la liste BaseDN. Dans la boîte de dialogue Bind. i. Dans le volet d'informations. Existe-t-il une entrée SIDHistory pour ce compte d'utilisateur ? Si oui.exe pour afficher les modifications apportées à l'identificateur SID. à l'historique SID ou à l'identificateur GUID de ce compte ? Si oui. affichez les propriétés de l'objet. Dans le volet d'informations. Quel est l'attribut objectGUID de ce compte ? Les réponses varient. Utilisez Ldp. puis cliquez sur OK. lesquelles ? Aucune modification n'a été apportée à l'identificateur SID. Dans l'arborescence de la console. le mot de passe P@ssw0rd et le nom du domaine hébergé par votre serveur. Dans la boîte de dialogue Tree View. 4. sur l'objet de l'unité d'organisation Sales. f. développez votre domaine. tapez le nom d'utilisateur Administrateur. _______________________________________________________ ii. Dans le menu View. cliquez sur Tree. Dans le volet d'informations. Dans l'arborescence de la console. quels sont les identificateurs SID répertoriés ? Il n'existe aucune entrée SIDHistory pour ce compte. Quel est l'attribut objectSid de ce compte ? Les réponses varient. b. b. puis cliquez sur OK.

Module 4 : Implémentation de comptes d'utilisateurs. Objectifs de la leçon À la fin de cette leçon. ! expliquer les instructions liées à l'authentification. ! expliquer les instructions permettant de planifier une stratégie de compte de groupe. l'autorisation et l'administration des comptes d'utilisateurs . de groupe et d'ordinateur ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Cette leçon présente des instructions pour planifier une stratégie de compte d'utilisateur et d'ordinateur. ! expliquer les instructions permettant de définir une stratégie de mot de passe . de groupes et d'ordinateurs 45 Leçon : Planification d'une stratégie de compte d'utilisateur. . vous serez à même d'effectuer les tâches suivantes : ! expliquer les instructions permettant de définir une convention d'attribution de nom de compte . Une stratégie de compte bien planifiée permet d'empêcher une violation de la sécurité dans votre réseau.

La convention d'attribution de nom doit inclure : • le prénom. vous devez définir des conventions d'attribution de noms de comptes. Instructions Les instructions suivantes s'appliquent à l'attribution de noms de comptes d'utilisateurs. les trois premiers caractères du prénom ou l'initiale du prénom de l'utilisateur. les premières lettres du nom de famille de l'utilisateur ou son nom complet. utilisez SuzanneDuprez pour l'utilisatrice Suzanne Duprez . ou encore l'initiale du deuxième prénom pour résoudre les conflits de noms. . de groupes et d'ordinateurs Instruction d'attribution des noms de comptes ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Lors de la création d'une stratégie de compte pour les forêts et les domaines situés dans le réseau de votre organisation. • des caractères supplémentaires de prénom ou de nom de famille. Par exemple. d'ordinateurs et de groupes dans un réseau Windows Server 2003. • l'initiale. qui facilite l'identification par les autres utilisateurs et vous permette de gérer les conflits de noms d'utilisateurs pour les utilisateurs ayant des noms similaires. Par exemple.46 Module 4 : Implémentation de comptes d'utilisateurs. utilisez Suzanne pour l'utilisatrice Suzanne Duprez . ! Définissez une convention d'attribution de nom de compte d'utilisateur pour votre organisation.

Il n'est pas nécessaire que ces autres suffixes UPN soient un nom DNS valide. un utilisateur peut ouvrir une session en ajoutant le nom d'ouverture de session le plus simple SDuprez@nwtraders ou SDuprez@nwtraders.Module 4 : Implémentation de comptes d'utilisateurs. Le suffixe UPN par défaut pour un utilisateur dans ce domaine peut donc être ventes.msft.msft.exemple.exemple. Le nom d'ouverture de session d'une utilisatrice nommée Suzanne Duprez dans ce domaine peut alors être SDuprez@ventes.nwtraders. UN pour groupe universel. Cependant. LD pour groupe local de domaine Emplacement du groupe Red pour Redmond Rôle du groupe Admins pour administrateurs . du personnel à temps partiel et des comptes de services .msft. tels que des fournisseurs. ! Définissez une convention d'attribution de nom de compte d'ordinateur qui identifie le propriétaire de l'ordinateur. de groupes et d'ordinateurs 47 Envisagez d'utiliser : • des préfixes ou suffixes pour identifier des comptes d'utilisateurs spéciaux. si vous créez le suffixe nwtraders ou nwtraders. son emplacement et son rôle.msft. les noms de domaines peuvent être assez longs. son emplacement et le type d'ordinateur. Par exemple. • un autre nom de domaine pour que le suffixe UPN augmente la sécurité des sessions et simplifie les noms d'ouverture de session.nwtraders. Incluez les informations suivantes dans la convention d'attribution de nom : Convention d'attribution de nom Exemple Nom d'utilisateur du propriétaire SuzanneD1 Emplacement ou abréviation RED ou Redmond Type d'ordinateur ou abréviation SVR ou serveur ! Définissez une convention d'attribution de nom de groupe qui identifie le type de groupe. Incluez les informations suivantes dans la convention d'attribution de nom : Convention d'attribution de nom Exemple Type de groupe G pour groupe global. si votre organisation possède une arborescence de domaine profonde qui est organisée par département et région.

Le fait de définir une durée de vie minimale du mot de passe empêche les utilisateurs de modifier continuellement leur mot de passe pour éviter le paramètre de stratégie Conserver l'historique des mots de passe puis réutiliser leur mot de passe d'origine. Instructions Une stratégie de mot de passe assure que chaque utilisateur respecte les instructions de mot de passe que vous déterminez comme appropriée pour votre organisation. le compte est inaccessible sur le réseau. définissez une durée de vie maximale du mot de passe plus courte que pour les utilisateurs normaux. La famille Windows Server 2003 inclut une nouvelle fonctionnalité qui vérifie la complexité du mot de passe pour le compte Administrateur. les utilisateurs ne peuvent pas utiliser le même mot de passe à l'expiration de leur mot de passe actuel. Ce paramètre de stratégie empêche quiconque forçant un mot de passe d'accéder au réseau jusqu'à expiration du mot de passe. ! Définissez le paramètre de stratégie Durée de vie maximale du mot de passe afin que les mots de passe expirent aussi souvent que nécessaire pour votre environnement et le niveau d'accès des utilisateurs. ! Définissez le paramètre de stratégie Durée de vie minimale du mot de passe de sorte que les utilisateurs ne puissent pas modifier leur mot de passe avant un certain nombre de jours. Pour les utilisateurs qui ont un accès Administrateur de domaine. Les mots de passe constituent la première ligne de défense en cas d'accès non autorisé à votre organisation. de groupes et d'ordinateurs Instructions de définition d'une stratégie de mot de passe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Le rôle des mots de passe dans la sécurité du réseau d'une organisation est bien souvent sous-estimé et négligé. Si le mot de passe est vide ou ne répond pas aux conditions de complexité. la boîte de dialogue Installation de Windows apparaît et vous informe des dangers liés à la non-utilisation d'un mot de passe fort pour le compte Administrateur. Définissez les éléments suivants d'une stratégie de mot de passe : ! Définissez le paramètre de stratégie Conserver l'historique des mots de passe pour mémoriser au moins les 24 mots de passe précédents. . Si vous ne renseignez pas de mot de passe. De cette manière.48 Module 4 : Implémentation de comptes d'utilisateurs.

• ne contient aucun mot complet du dictionnaire . nom réel ou nom de société . .) sont faibles . sont généralement plus forts que les mots de passe courts. de groupes et d'ordinateurs 49 ! Définissez un paramètre de stratégie Longueur minimale du mot de passe de sorte que les mots de passe contiennent un nombre minimum de caractères. • est significativement différent des précédents mots de passe. des valeurs numériques et des symboles . Ce paramètre de stratégie empêche également les utilisateurs d'utiliser des mots de passe vides. Les longs mots de passe.Module 4 : Implémentation de comptes d'utilisateurs. testez-les pour vérifier que les mots de passe qui contiennent des caractères ASCII étendus sont compatibles avec les applications utilisées par votre organisation.. Ce paramètre vérifie tous les nouveaux mots de passe pour s'assurer qu'ils répondent aux exigences de base d'un mot de passe fort. Attention Tout intrus potentiel peut trouver des caractères ASCII étendus dans la Table des caractères.. • contient des caractères ASCII étendus. H!elZl2o et J*p2leO4>©F sont des exemples de mots de passe forts. • ne contient aucun nom d'utilisateur. N'utilisez pas de caractère étendu si aucune séquence de touches n'est définie dans le coin inférieur droit de la table des caractères. Soyez particulièrement prudent lors de l'utilisation de caractères ASCII étendus si votre organisation utilise plusieurs systèmes d'exploitation. Les mots de passe incrémentiels (Mot_de_Passe1. Ces caractères incluent les marques d'accentuation et les symboles spéciaux utilisés pour créer des images. Avant d'utiliser des caractères ASCII étendus dans votre mot de passe. Un mot de passe fort présente les caractéristiques suivantes : • comporte au moins huit caractères . Mot_de_Passe2. • contient des caractères en majuscules/minuscules. Mot_de_Passe3. comportant au minimum huit caractères. ! Activez le paramètre de stratégie Le mot de passe doit respecter des exigences de complexité.

.50 Module 4 : Implémentation de comptes d'utilisateurs. Par exemple. une durée de vie minimale du mot de passe de 7 jours et une longueur minimale de 14 caractères. Paramètre Valeur Conserver l'historique des mots de passe 24 mots de passe mémorisés Durée de vie maximale du mot de passe 42 jours Durée de vie minimale du mot de passe 2 jours Longueur minimale du mot de passe 8 caractères Le mot de passe doit respecter des exigences Activé de complexité Enregistrer les mots de passe en utilisant un Désactivé cryptage réversible Conseil Si vous créez un domaine racine dans votre forêt dans le but de placer des comptes administrateur. envisagez d'exiger une durée de vie maximale du mot de passe de 30 jours. de groupes et d'ordinateurs Le tableau suivant présente les paramètres de stratégie minimaux recommandés pour des environnements réseau sécurisés. envisagez d'exiger des paramètres de stratégie de mot de passe plus stricts sur ce domaine que sur le domaine de votre compte.

les comptes des utilisateurs autorisés ne sont pas verrouillés en cas de saisie erronée d'un mot de passe. Instructions Utilisez les instructions suivantes pour authentifier. autoriser et administrer des comptes dans votre organisation : ! Attribuez une valeur élevée au paramètre de stratégie seuil de verrouillage de compte. d'autorisation et d'administration aidera à protéger le réseau de votre organisation. Ainsi. exigez des cartes à puce pour des comptes administrateur et l'accès distant afin de confirmer l'identité de l'utilisateur. Finalement. Exigez que les administrateurs ouvrent une session à l'aide d'un compte d'utilisateur normal et qu'ils utilisent la commande runas pour effecteur toutes les tâches d'administration. . implémentez une stratégie de verrouillage du compte pour prévenir toute attaque de votre organisation. Ce problème n'existe pas dans les organisations qui utilisent uniquement des contrôleurs de domaine membres de la famille Windows Server 2003. d'autorisation et d'administration des comptes ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction La planification d'une stratégie d'authentification. Par exemple. L'ordinateur qui utilise l'ancien mot de passe tente constamment d'authentifier l'utilisateur avec le mot de passe incorrect. Windows peut verrouiller des utilisateurs autorisés s'ils modifient leur mot de passe sur un ordinateur mais pas sur un autre. ! Utilisez une authentification multifactorielle. devez-vous penser à limiter le nombre d'administrateurs et à éviter d'accorder aux utilisateurs un accès administratif. de groupes et d'ordinateurs 51 Instructions d'authentification. Module 4 : Implémentation de comptes d'utilisateurs. Aussi. ! Évitez d'utiliser des comptes administrateur pour répondre aux besoins informatiques de routine. Soyez toutefois prudent lors de la création d'un verrouillage de compte afin de ne pas verrouiller par inadvertance des utilisateurs autorisés. Par exemple. l'ordinateur verrouille le compte de l'utilisateur jusqu'à ce qu'il soit restauré.

Même lorsqu'un compte Administrateur est désactivé. Dans le domaine de la stratégie C-G-U-LD-A : • les comptes d'utilisateurs (C) sont ajoutés aux groupes globaux (G) . Cette stratégie procure une souplesse maximale tout en réduisant la complexité de l'affectation des autorisations d'accès au réseau. Cependant. de groupes et d'ordinateurs ! Utilisez des groupes de sécurité basés sur la stratégie C-G-U-LD-A (A-G- U-DL-P. il est conseillé de le désactiver. Implémentez également un modèle de sécurité basé sur le rôle pour accorder les autorisations. en anglais). ! Désactivez le compte Administrateur et affectez aux utilisateurs et administrateurs le moindre privilège nécessaire pour effecteur leurs tâches professionnelles. • les groupes globaux sont ajoutés aux groupes universels (U) . Vous ne pouvez jamais supprimer ou retirer le compte Administrateur du groupe intégré Administrateurs. . Le seul moyen de prévenir ce problème consiste à vérifier que les serveurs sont physiquement sécurisés. • les autorisations sur les ressources (A) sont affectées aux groupes locaux de domaine.52 Module 4 : Implémentation de comptes d'utilisateurs. un intrus ou un utilisateur non autorisé peut utiliser un mode sécurisé pour accéder à un contrôleur de domaine. • les groupes universels sont ajoutés aux groupes locaux de domaine (LD) .

Créez ensuite un groupe local de domaine pour chaque ressource. Identifiez les groupes d'après les tâches que les membres effectuent. Module 4 : Implémentation de comptes d'utilisateurs. et ajoutez des utilisateurs qui ont besoin d'accéder à ces ressources. Identifiez les ressources partagées. ! Utilisez des groupes universels lorsque l'appartenance est statique. Active Directory réplique chaque modification d'appartenance dans un groupe universel. groupes locaux de domaine et groupes universels pour simplifier les tâches d'administration. ! Utilisez des groupes universels pour accorder l'accès aux ressources situées dans plusieurs domaines. Créez des groupes globaux pour ces utilisateurs. telles que les imprimantes. ! Créez un groupe local de domaine pour partager les ressources. créez un groupe universel pour ces utilisateurs et accordez l'accès au groupe universel pour ces partages de fichiers. de groupes et d'ordinateurs 53 Instructions de planification d'une stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction La planification d'une stratégie de groupe implique la planification de l'utilisation des groupes globaux. Lorsque vous souhaitez partager une ressource sur un domaine entre plusieurs groupes globaux. ce qui augmente le trafic réseau. fichiers et dossiers. Les groupes universels fonctionnent mieux lorsque vous ajoutez des utilisateurs qui ne sont pas susceptibles d'être supprimés fréquemment du groupe universel. Instructions Utilisez les instructions suivantes pour planifier une stratégie de groupe : ! Affectez les utilisateurs aux responsabilités professionnelles communes aux groupes globaux. ajoutez ces groupes globaux au groupe local de domaine qui accorde l'accès à la ressource partagée. ! Ajoutez aux groupes locaux de domaine des groupes globaux qui exigent un accès aux ressources. Si des comptes d'utilisateurs exigent d'accéder aux partages de fichier situés dans un domaine différent des comptes d'utilisateurs. . et ajoutez-y des utilisateurs qui ont des responsabilités communes.

Active Directory réplique la totalité de la liste d'appartenance sur tous les autres serveurs de catalogue global. Vancouver et Denver. Ses membres incluent des groupes globaux des domaines London. qui est créé dans le domaine Redmond. de groupes et d'ordinateurs Remarque Si le niveau fonctionnel de la forêt est défini sur Windows 2000 natif et qu'une modification est apportée à l'appartenance d'un groupe universel. Groupe Description Emplacement Type Membres U RedAccts Comptables Domaine Groupe G LonAccts Redmond universel G VanAccts G DenAccts . des modifications plus fréquentes de l'appartenance à un groupe universel ont moins d'effet sur le réseau que dans un niveau fonctionnel de forêt Windows 2000. seules les modifications sont répliquées sur les autres serveurs de catalogue global. Planification des Utilisez le tableau suivant pour planifier des comptes de groupes : Il contient comptes de groupes des exemples d'informations pour un groupe universel nommé U RedAccts.54 Module 4 : Implémentation de comptes d'utilisateurs. En d'autres termes. Si le niveau fonctionnel de la forêt est défini sur Windows Server 2003.

! déterminer la stratégie d'authentification. ! déterminer la stratégie de mot de passe . de groupes et d'ordinateurs 55 Application pratique : Planification d'une stratégie de compte ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Objectifs Dans cette application pratique. ! déterminer la stratégie de groupe pour votre forêt. Tous les contrôleurs de domaines de votre forêt exécutent Windows Server 2003. Scénario Votre société se trouve dans un environnement d'entreprise hautement concurrentiel. Votre organisation compte 1000 utilisateurs dans une forêt Active Directory. .msft qui contient tous vos groupes de comptes et d'utilisateurs. Le maintien de la sécurité des informations et des secrets commerciaux est vital.msft. La forêt se compose d'un domaine racine vide nommé nwtraders. Le domaine racine contient uniquement des comptes administrateur que vous utilisez pour effectuer des tâches d'administration à l'échelle de la forêt. d'un domaine enfant nommé corp. vous allez effectuer les tâches suivantes : ! déterminer la stratégie d'attribution de nom de compte . Module 4 : Implémentation de comptes d'utilisateurs.nwtraders. d'autorisation et d'administration .

Une stratégie d'attribution de nom possible consiste à utiliser le prénom et l'initiale du nom de famille de l'utilisateur. de groupes et d'ordinateurs Application pratique ! Planifier une stratégie de compte 1. Quelle stratégie d'attribution de nom de compte allez-vous utiliser dans le domaine corp ? Les réponses varient.56 Module 4 : Implémentation de comptes d'utilisateurs. Quels paramètres de stratégie de mot de passe allez-vous utiliser pour le domaine corp ? Vos paramètres de stratégie incluront au minimum les éléments suivants : • Conserver l'historique des 24 mots de passe mots de passe mémorisés • Durée de vie maximale du mot de passé 42 jours • Durée de vie minimale du mot de passe 2 jours • Longueur minimale du mot de passe 8 caractères • Le mot de passe doit respecter des exigences de complexité Activé • Enregistrer les mots de passe en utilisant un cryptage réversible Désactivé ____________________________________________________________ ____________________________________________________________ ____________________________________________________________ ____________________________________________________________ . ____________________________________________________________ ____________________________________________________________ 2. résolvez-les en utilisant au moins deux caractères du nom de famille de l'utilisateur pour créer un nom d'utilisateur unique. En cas de conflits de noms.

____________________________________________________________ ____________________________________________________________ ____________________________________________________________ ____________________________________________________________ . Quels paramètres de stratégie de mot de passe allez-vous utiliser pour le domaine racine ? Vos paramètres de stratégie incluront au minimum les éléments suivants : • Conserver l'historique des 24 mots de passe mots de passe mémorisés • Durée de vie maximale du mot de passe 30 jours • Durée de vie minimale du mot de passe 7 jours • Longueur minimale du mot de passe 14 caractères • Le mot de passe doit respecter des exigences de complexité Activé • Enregistrer les mots de passe en utilisant un cryptage réversible Désactivé ____________________________________________________________ ____________________________________________________________ ____________________________________________________________ ____________________________________________________________ 4. • Exigez que les administrateurs ouvrent une session à l'aide d'un compte d'utilisateur normal et qu'ils effectuent toutes les tâches d'administration à l'aide de la commande runas. • Renommez et désactivez le compte Administrateur dans chaque domaine. • Exigez une authentification par carte à puce pour tout accès distant à votre réseau. de groupes et d'ordinateurs 57 3. d'autorisation et d'administration ? Votre stratégie devra se conformer aux indications suivantes : • Définissez une stratégie de verrouillage de compte qui verrouille les comptes d'utilisateurs pendant 30 minutes après sept tentatives d'ouverture de session infructueuses. • Implémentez un modèle de sécurité basé sur le rôle lors de la planification des groupes. Que comprendra votre stratégie d'authentification.Module 4 : Implémentation de comptes d'utilisateurs.

de groupes et d'ordinateurs 5. • Créez un groupe local de domaine pour les ressources partagées. • N'utilisez pas des groupes universels (à l'exception des groupes Administrateurs de l'entreprise et Administrateurs du schéma dans le domaine racine) car tous les comptes d'utilisateurs. ____________________________________________________________ ____________________________________________________________ ____________________________________________________________ ____________________________________________________________ . • Ajoutez aux groupes locaux de domaine des groupes globaux qui exigent un accès aux ressources. comptes de groupes et ressources non administratifs seront situés dans le domaine corp. Que comprendra votre stratégie de groupe ? Votre stratégie devra se conformer aux indications suivantes : • Affectez les utilisateurs aux responsabilités professionnelles communes aux groupes globaux.58 Module 4 : Implémentation de comptes d'utilisateurs.

de groupes et d'ordinateurs 59 Leçon : Planification d'une stratégie d'audit Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction À la fin de cette leçon. vous comprendrez pourquoi il est important d'auditer l'accès des utilisateurs à Active Directory et de savoir planifier une stratégie d'audit Active Directory. vous serez à même d'effectuer les tâches suivantes : ! expliquer la nécessité d'auditer un accès à Active Directory . ! expliquer les instructions d'analyse des modifications apportées à Active Directory. Module 4 : Implémentation de comptes d'utilisateurs. . Objectifs de la leçon À la fin de cette leçon.

. Rôle de l'audit Lors de l'audit d'Active Directory. Étant donné qu'Active Directory stocke des informations sur tous les objets qui existent dans un réseau Windows Server 2003. Par exemple. tels qu'aux objets du site ou au schéma Active Directory. vous enregistrez les modifications apportées d'Active Directory à Active Directory et les tentatives de modification infructueuses d'Active Directory afin d'effectuer les opérations suivantes : ! enregistrer toutes les modifications apportées à Active Directory.60 Module 4 : Implémentation de comptes d'utilisateurs. vous devrez peut-être auditer des modifications apportées à l'appartenance à un groupe ou à des composants de l'infrastructure Active Directory. Par exemple. vous pouvez utiliser le journal d'audit pour identifier à quel moment la modification a été faite et par qui . de groupes et d'ordinateurs Pourquoi auditer l'accès à Active Directory ? ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Vous devez utiliser la fonctionnalité d'audit pour assurer un suivi des activités liées à la sécurité sur un système. ce qui a permis à un groupe de personnes erroné d'accéder aux ressources. L'enregistrement des modifications réussies assure que le personnel autorisé ne procède pas à des modifications non autorisées sur des objets Active Directory. Il est également utile pour réparer des modifications incorrectes d'Active Directory. vous devez assurer un suivi des modifications apportées à ces objets et leurs attributs. si des autorisations ont été appliquées au mauvais groupe.

L'enregistrement des tentatives infructueuses d'accès aux ressources ou de modifications d'Active Directory vous aide à identifier les risques de sécurité externes et externes. avec succès ou non. vous devez activer l'audit des services d'annuaire sur tous les contrôleurs de domaine et configurer une liste SACL (System Access Control List) pour chaque objet ou attribut que vous souhaitez auditer. si une application utilise un compte de service pour accéder aux ressources et que l'application ne fonctionne pas correctement. Le suivi de l'accès vous aide à comprendre des événements qui se produisent sur votre réseau.Module 4 : Implémentation de comptes d'utilisateurs. Par exemple. ! détecter et enregistrer les tentatives d'accès infructueuses. . Pour auditer des modifications apportées. de groupes et d'ordinateurs 61 ! assurer un suivi de l'accès à une ressources ou par un compte spécifique. le journal d'audit peut vous aider à identifier le problème . à des objets ou attributs Active Directory.

.62 Module 4 : Implémentation de comptes d'utilisateurs. Même si les événements de gestion des comptes réussis sont généralement inoffensifs. ils fournissent un enregistrement inestimable d'activités pouvant compromettre la sécurité d'un réseau. Si l'audit de ces modifications et des modifications de stratégie de gestion des comptes n'est pas activé. de groupes et d'ordinateurs Instructions d'analyse des modifications apportées à Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Des audits réussis génèrent une entrée d'audit lorsqu'un événement de gestion des comptes s'exécute avec succès. Cependant. si un administrateur a fait du compte d'utilisateur Sandy un membre du groupe Opérateurs de sauvegarde. si le même administrateur a accordé au compte Sandy le droit d'utilisateur avancé Sauvegarde des fichiers et dossier. l'audit enregistrera un événement de gestion des comptes. un intrus peut potentiellement corrompre la sécurité d'un réseau sans journal d'audit. Instructions Utilisez les instructions suivantes lors de la création d'une stratégie d'audit : ! Activez l'audit des événements de gestion des comptes. • la modification des mots de passe ou de la stratégie de sécurité de l'ordinateur. ! Activez l'audit des succès des modifications de stratégie. Par exemple. l'audit n'enregistrera pas d'événement de gestion des comptes. la désactivation ou le changement de nom des comptes d'utilisateurs . • l'activation. la modification ou la suppression des comptes de groupes ou d'utilisateurs . Auditez les modifications réussies suivantes : • la création.

les serveurs se fermeront lorsque le journal sera plein. tandis que la qualité des informations obtenues de ces événements tend à être relativement élevée. Des événements d'échec dans la catégorie d'événements système peuvent détecter une activité inhabituelle. Administration d'un environnement Microsoft Windows Server 2003.Module 4 : Implémentation de comptes d'utilisateurs. Veillez alors à ne les activer que lorsque cela est nécessaire. Remarque Pour plus d'informations sur l'activation d'un audit. Le nombre d'audits généré lorsque ce paramètre est activé tend à être relativement faible. de groupes et d'ordinateurs 63 ! Activez l'audit des échecs des événements système. Attention L'activation des audits des échecs pour ces événements peut représenter un risque pour votre organisation. ils peuvent créer tant d'audits des échecs que le journal de sécurité devient rapidement plein. Si le paramètre de stratégie Audit : arrêter immédiatement le système s'il n'est pas possible de se connecter aux audits de sécurité est activé. Si tel est le cas. Ce paramètre de sécurité génère un événement lorsqu'un utilisateur tente en vain de redémarrer ou de fermer un ordinateur ou encore de modifier la sécurité du système ou le journal de sécurité. consultez le Module 10. « Implémentation de modèles d'administration et d'une stratégie d'audit ». du cours 2144. Si des utilisateurs tentent d'accéder à une ressource pour laquelle ils n'ont pas d'autorisation. . Activez ce paramètre de stratégie d'audit pour tout le domaine. Le nombre d'audit généré lorsque ces paramètres sont activés peut être très élevé. L'ordinateur ne peut alors plus collecter d'audits. des intrus peuvent lancer une attaque de refus de service en utilisant votre stratégie d'audit. ! Activez l'audit des échecs des événements de modification de stratégie et des événements de gestion des comptes uniquement lorsque cela est nécessaire. comme celle d'un intrus qui tente d'accéder à votre réseau ou votre ordinateur.

de groupes et d'ordinateurs Application pratique : Planification d'une stratégie d'audit ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Objectifs Dans cette application pratique. .msft et d'un domaine enfant nommé corp. vous allez déterminer les stratégies d'audit à activer pour Active Directory. Elle consiste aussi à activer l'audit des échecs pour les événements système. Votre forêt se compose d'un domaine racine vide nommé nwtraders. Application pratique ! Planifier une stratégie d'audit • Pour quels événements allez-vous activer l'audit ? ____________________________________________________________ ____________________________________________________________ Les réponses varient. La stratégie recommandée consiste à activer l'audit des succès pour le système. Scénario Vous devez planifier une stratégie d'audit pour Northwind Traders. Il n'est pas recommandé d'activer l'audit des échecs pour d'autres événements à moins que vous auditiez spécifiquement en vue de détecter des intrusions. qui compte 1000 utilisateurs dans une forêt Active Directory.64 Module 4 : Implémentation de comptes d'utilisateurs.msft qui contient tous vos groupes de comptes et d'utilisateurs. la modification de stratégie et la gestion des comptes.nwtraders.

de groupes et d'ordinateurs. ! déplacer des objets à l'intérieur d'un domaine et entre domaines d'une forêt. Connaissances Avant de travailler sur cet atelier. Elle prévoie d'utiliser une forêt avec deux domaines. ! implémenter des suffixes UPN . de groupes et d'ordinateurs . vous serez à même d'effectuer les tâches suivantes : ! planifier une stratégie pour des comptes d'utilisateurs. Le domaine d'entreprise contiendra les comptes d'utilisateurs. Module 4 : Implémentation de comptes d'utilisateurs. Scénario La société Northwind Traders implémente Windows Server 2003 sur son réseau. Durée approximative de cet atelier : 60 minutes . ! connaître les instructions de planification d'une stratégie d'audit. de groupes et d'ordinateurs 65 Atelier A : Implémentation d'une stratégie de compte et d'audit ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Objectifs À la fin de cet atelier. vous devez : préalables ! connaître les instructions de planification d'une stratégie de compte . ! planifier une stratégie d'audit Active Directory . ! créer plusieurs comptes d'utilisateurs et d'ordinateurs . à savoir un domaine racine vide et un domaine d'entreprise.

Tâches 1. vous allez planifier une stratégie d'attribution de nom de compte pour la nouvelle forêt de Northwind Traders. ! La stratégie d'attribution de nom des comptes d'ordinateurs doit permettre aux employés d'identifier facilement l'emplacement et le rôle d'un ordinateur.msft. Utilisez les instructions fournies par l'équipe d'ingénierie et de conception.msft et d'un domaine enfant nommé corp.msft. ! Tous les employés doivent posséder une adresse électronique de type Nom_Utilisateur@nwtraders. De quoi se composeront les noms de compte d'utilisateur ? Quelle stratégie allez-vous utiliser pour résoudre des conflits de noms de comptes d'utilisateurs ? Qu'allez-vous utiliser comme suffixe UPN pour les comptes d'utilisateurs ? . Scénario La nouvelle forêt se composera d'un domaine racine vide nommé nwtraders.66 Module 4 : Implémentation de comptes d'utilisateurs. de groupes et d'ordinateurs Exercice 1 Planification d'une stratégie de compte et d'audit Dans cet exercice. Votre stratégie de compte et d'audit devra tenir compte des conditions suivantes : ! La stratégie d'attribution de nom des comptes d'utilisateurs doit permettre aux employés qui ne connaissent que le prénom et le nom de famille d'un autre utilisateur de déterminer facilement l'adresse électronique de celui-ci. ! La stratégie d'audit doit être capable de détecter les tentatives de modification et les modifications non autorisées d'Active Directory.nwtraders. Planifier une stratégie d'attribution de nom de compte d'utilisateur pour la forêt nwtraders.msft qui contiendra tous vos comptes d'utilisateurs. La société possède des bureaux dans sept villes.

msft ? Quels paramètres de stratégie de mot de passe allez-vous appliquer au domaine corp. Planifier une stratégie d'audit pour la forêt nwtraders. Quels paramètres d'audit des succès allez-vous inclure à votre plan ? Quels paramètres d'audit des échecs allez-vous inclure à votre plan ? .msft.msft.msft. Planifier une stratégie d'attribution de nom de compte d'ordinateur pour la forêt nwtraders. Planifier une stratégie de mot de passe pour la forêt nwtraders. Quels paramètres de stratégie de mot de passe allez-vous appliquer au domaine nwtraders. de groupes et d'ordinateurs 67 Tâches 2. Quelle convention d'attribution de nom allez-vous utiliser pour les comptes de serveurs ? Quelle convention d'attribution de nom allez-vous utiliser pour les ordinateurs clients ? 3. Module 4 : Implémentation de comptes d'utilisateurs.msft ? 4.nwtraders.

Scénario En tant qu'administrateur chez Northwind Traders. Un membre de l'équipe entre les requêtes dans une feuille de calcul.csv créé pour vous à l'aide de Microsoft Excel. Tâches Instructions spécifiques 1.csv est le même que celui du domaine hébergé par commande Csvde pour votre ordinateur.csv (Comma Separated Value). de groupes et d'ordinateurs Exercice 2 Création de comptes à l'aide de l'outil Csvde Dans cet exercice. vous êtes chargé d'importer ce fichier dans Active Directory pour créer les comptes d'utilisateurs. Au début de chaque journée de travail. utilisateurs et groupes nouvellement créés. Quelles sont les unités d'organisation nouvellement créées ? Parmi les nouvelles unités d'organisation. vous allez utiliser l'outil de ligne de commande Csvde pour importer plusieurs comptes dans Active Directory à partir d'un fichier d'importation . qui est enregistrée dans un format à valeurs séparées par des virgules. Utiliser l'outil de ligne de " Le nom du fichier . lesquelles contiennent des comptes d'utilisateurs et de groupes ? . également appelé format . 2. Active Directory. Ce fichier se trouve dans le dossier <dossier importer le fichier . Utiliser la console Utilisateurs et ordinateurs Active Directory pour déterminer les unités d'organisation.68 Module 4 : Implémentation de comptes d'utilisateurs.csv dans d'installation>MOC194\Labfiles\Lab4 sur votre ordinateur. vous recevez quotidiennement des requêtes pour de nouveaux comptes d'utilisateurs.

Créer un nouveau suffixe a. Utilisez Exécuter en tant que pour démarrer la console Domaines et approbations Active en tant que Votre_Domaine\Administrateur avec le mot de passe P@ssw0rd. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser UPN dans votre forêt avec le mot de passe P@ssw0rd. puis résoudre un conflit de routage de suffixe UPN entre deux forêts. Scénario Des utilisateurs de votre domaine ont demandé à pouvoir ouvrir une session sur leur domaine à l'aide d'un suffixe composé uniquement du nom de la ville dans laquelle ils se trouvent. Tâches Instructions spécifiques 1. Activer le routage du nouveau suffixe UPN vers la forêt nwtraders. 2. nommé Votre_Ville. Quel est l'état du suffixe UPN Votre_Ville après l'avoir activé ? Que pouvez-vous faire pour résoudre ce conflit de routage du suffixe UPN ? . Module 4 : Implémentation de comptes d'utilisateurs. vous allez créer un suffixe UPN. Vous allez créer ce suffixe UPN dans votre forêt pour votre ville. de groupes et d'ordinateurs 69 Exercice 3 Création d'un suffixe UPN Dans cet exercice. b.msft.

MSI puis appuyez sur ENTRÉE pour démarrer l'installation. un groupe d'utilisateurs est muté sur un autre site. Scénario Suite à une récente réorganisation chez Northwind Traders. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser sur votre serveur nommé avec le mot de passe P@ssw0rd.exe pour examiner l'identificateur SID. vous allez accorder des autorisations de groupes globaux à un dossier partagé sur votre serveur. Installer l'outil de migration a. Utilisez la commande Exécuter en tant que pour démarrer une invite Active Directory sur votre de commandes en tant que Votre_Domaine\Administrateur avec le ordinateur. Créer et partager un dossier a. Vous devez vous assurer que les utilisateurs peuvent toujours accéder à leurs fichiers après le déplacement de leurs comptes. Quels sont les éléments répertoriés pour les entrées objectGUID. Ce déplacement affecte également Active Directory car le groupe et ses comptes d'utilisateurs doivent être déplacés vers un autre emplacement de la forêt. Utilisez la commande Exécuter en tant que pour démarrer la console groupe global G IT Admins Gestion de l'ordinateur en tant que Votre_Domaine\Administrateur des autorisations NTFS avec le mot de passe P@ssw0rd. ITAdmin. .70 Module 4 : Implémentation de comptes d'utilisateurs. Tâches Instructions spécifiques 1. À l'invite de commandes. de groupes et d'ordinateurs Exercice 4 Déplacement d'un groupe d'utilisateurs Dans cet exercice. objectSID et sIDHistory du groupe global G IT Admins ? 3. vous allez vérifier que le groupe déplacé possède encore les autorisations sur le dossier partagé sur votre serveur. Vous allez ensuite déplacer le groupe et ses membres vers une unité d'organisation située dans l'autre domaine de votre forêt. démarrez l'installation en tapant \London\OS\ADMT\ADM_0001. Utiliser Ldp. 2. Contrôle total sur le dossier et des autorisations Contrôle total sur le partage. Enfin. mot de passe P@ssw0rd. Il faudra compter plusieurs mois pour que les serveurs qui contiennent les données des utilisateurs puissent être déplacés. l'historique SID et l'identificateur GUID de l'objet groupe global G IT Admins situé dans l'unité d'organisation Admin\IT Groups du domaine hébergé par votre ordinateur stagiaire. puis accorder au b. b.

votre forêt. SID.exe pour Remarque : le groupe G IT Admins peut avoir été renommé examiner l'identificateur G IT Adminsdéplacés dans le cadre du processus de déplacement. . Utiliser Ldp. l'historique SID et " Après avoir répondu à la question ci-dessous. Est-ce que le groupe auquel vous avez accordé les autorisations pour ce dossier à l'étape 1 possède toujours des autorisations Contrôle total sur le dossier ? Expliquez pourquoi. dans le menu Connexion. IT Admins et ses membres Remarque : la boîte de dialogue Avancée de la Migration peut dans l'unité d'organisation indiquer la présence d'erreurs. l'objet groupe global G IT Admins de l'unité d'organisation IT Test\IT Test Move située dans le domaine de déplacement. Utiliser l'outil de migration " Utilisez la commande Exécuter en tant que pour ouvrir l'outil de Active Directory pour migration Active Directory en tant que nwtradersx\Administrator déplacer le groupe global G avec le mot de passe P@ssw0rd. Module 4 : Implémentation de comptes d'utilisateurs. Ignorez ces messages d'erreur. ObjectSID ou sIDHistory a-t-elle été modifiée suite au déplacement ? 6. Quels sont les éléments répertoriés pour les entrées objectGUID. 5. objectSID et sIDHistory du groupe global G IT Admins ? L'une des entrées objectGUID. l'identificateur GUID de cliquez sur Quitter. Ces erreurs ont été générées lorsque IT Test\IT Test Move située vous avez renommé les utilisateurs et le groupe avec l'extension dans l'autre domaine de déplacée. de groupes et d'ordinateurs 71 Tâches 4. Utiliser l'Explorateur Windows pour afficher les autorisations affectées au dossier ITAdmin que vous avez créé et partagé à l'étape 1.

THIS PAGE INTENTIONALLY LEFT BLANK .

Module 5 : Implémentation d'une stratégie de groupe Table des matières Vue d'ensemble 1 Leçon : Création et configuration d'objets Stratégie de groupe 2 Leçon : Configuration des fréquences d'actualisation et des paramètres de stratégie de groupe 19 Leçon : Gestion des objets Stratégie de groupe 32 Leçon : Vérification et résolution des problèmes liés à la stratégie de groupe 47 Leçon : Délégation du contrôle administratif de la stratégie de groupe 56 Leçon : Planification d'une stratégie de groupe pour l'entreprise 66 Atelier A : Implémentation d'une stratégie de groupe 74 .

MS-DOS. Les produits mentionnés dans ce document peuvent faire l'objet de brevets. Visio. notamment les adresses URL et les références à des sites Web Internet. Active X. adresses de messagerie. PowerPoint. les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés. pourront faire l'objet de modifications sans préavis. produits. . de marques. les noms de domaines. photocopie.  2003 Microsoft Corporation. soit des marques déposées de Microsoft Corporation. Sans limitation des droits d'auteur. MSDN. aux États-Unis d'Amérique et/ou dans d'autres pays. les sociétés. les logos. les produits. de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Tous droits réservés. Microsoft. Visual C++ et Windows Media sont soit des marques de Microsoft Corporation. Les autres noms de produit et de société mentionnés dans ce document sont des marques de leurs propriétaires respectifs. lieux et événements existants ou ayant existé serait purement fortuite. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft. stockée ou introduite dans un système d'extraction. Active Directory. Windows. aucune partie de ce manuel ne peut être reproduite. noms de domaines.Les informations contenues dans ce document. logos. Visual Basic. Sauf mention contraire. enregistrement ou autre). Windows NT. droits d'auteur ou autres droits de propriété intellectuelle. marques. ou transmise à quelque fin ou par quelque moyen que ce soit (électronique. sans la permission expresse et écrite de Microsoft Corporation. mécanique. de dépôts de brevets en cours. personnes. les adresses de messagerie. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son pays. les personnes. la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets.

! gérer les objets Stratégie de groupe . « Implémentation d'une stratégie de groupe ».mspx. il se peut que toutes les fonctionnalités des diapositives ne s'affichent pas correctement. ! réaliser l'atelier . tout au long du module. Atelier : 75 minutes À la fin de ce module.swf Important Il est recommandé d'utiliser PowerPoint 2002 ou une version ultérieure pour afficher les diapositives de ce cours. les stagiaires seront à même d'effectuer les tâches suivantes : ! créer et configurer des objets Stratégie de groupe (GPO. Group Policy Object) . ! lire le module 8. Documents de cours Pour animer ce module. vous devez disposer des éléments suivants : ! Fichier Microsoft® PowerPoint® 2194A_05. ! lire l'article. . « Enterprise Management with the Group Policy Management Console » (en anglais) à l'adresse : http://www.com/windowsserver2003/gpmc/default. « Administration de l'environnement utilisateur au moyen de la stratégie de groupe ». du cours 2144A. ! planifier une stratégie de groupe pour l'entreprise. du cours 2144A. ! vérifier et résoudre les problèmes liés à la stratégie de groupe . Administration d'un environnement Microsoft Windows Server™ 2003 . ! lire le module 9. anticiper les questions que les stagiaires sont susceptibles de poser et préparer des réponses appropriées pour chacune de ces questions . ! configurer les fréquences d'actualisation de la stratégie de groupe et les paramètres de stratégie de groupe . ! déléguer le contrôle administratif de la stratégie de groupe . Préparation Pour préparer ce module.swf ! Fichier Macromedia Flash 2144A_2274_6_I_GP. ! étudier les applications pratiques et les questions d'évaluation ainsi que les suggestions de réponses fournies .ppt ! Fichier Macromedia Flash 2144A_2274_6_A_IntroGP. Administration d'un environnement Microsoft Windows Server 2003 . vous devez effectuer les tâches suivantes : ! lire tous les documents de cours relatifs à ce module . Si vous utilisez la Visionneuse PowerPoint ou une version antérieure de PowerPoint. Module 5 : Implémentation d'une stratégie de groupe iii Notes de l'instructeur Présentation : Ce module fournit aux stagiaires les connaissances et les compétences 180 minutes nécessaires pour planifier et implémenter une stratégie de groupe afin de gérer de façon centralisée les utilisateurs et les ordinateurs d'une entreprise. anticiper autant que possible les réponses que les stagiaires sont susceptibles de donner et préparer des réponses appropriées en conséquence .microsoft.

Procédures. Remarque Certaines rubriques font référence à des informations complémentaires situées dans les annexes. . créer un groupe). le module enchaîne sur un atelier. Avant d'animer la classe. Durant la classe. expliquez qu'une application pratique est une occasion pour les stagiaires d'effectuer les tâches décrites dans la leçon. Ils se servent des étapes décrites pour effectuer l'application pratique à la fin de chaque leçon. Ateliers À la fin de chaque module. Laissez 10 minutes aux stagiaires pour préparer leurs réponses aux questions d'évaluation.iv Module 5 : Implémentation d'une stratégie de groupe Comment animer ce module Cette section contient des informations qui ont pour but de vous aider à animer ce module. Envisagez de les utiliser pour consolider leurs connaissances à la fin de la journée. La colonne de droite contient des instructions spécifiques pour effectuer la tâche (par exemple : à partir du composant Utilisateurs et ordinateurs Active Directory. situés sur le CD-ROM du stagiaire. Un module comprend au pratiques et ateliers minimum deux leçons. Les stagiaires n'ont pas besoin de ces informations pour exécuter les tâches présentées dans ce module. En utilisant des scénarios correspondant à l'environnement professionnel du stagiaire. double-cliquez sur le nœud du domaine). Les stagiaires n'effectuent pas les tâches en même temps que vous. l'atelier permet aux stagiaires de mettre en pratique toutes les tâches abordées dans l'ensemble du module. l'atelier propose des instructions présentées sous forme de deux colonnes. La colonne de gauche indique la tâche à effectuer (par exemple. Une fois que les stagiaires ont terminé les leçons. passez en revue ces informations dans la page des annexes sur le CD-ROM du stagiaire. les applications applications pratiques et les ateliers ont été conçus pour ce cours. Vous pouvez choisir de parcourir ensemble les questions et les réponses. Vous pouvez aussi les utiliser en début de journée pour passer en revue les éléments abordés la veille. Important Ce module inclut des éléments requis pour chaque leçon. Expliquez aux stagiaires de quelle manière les procédures. ou demander aux stagiaires de préparer les réponses de leur côté. La plupart des leçons comprennent des procédures et une application pratique. indiquez ces annexes aux stagiaires pour obtenir des informations complémentaires. Procédures Les procédures vous permettent de montrer comment effectuer une tâche. Vous pouvez les présenter en introduction pour aider les stagiaires à identifier les difficultés ou en conclusion pour valider leurs connaissances. Applications pratiques Après avoir présenté le contenu d'une rubrique et les procédures de la leçon.

dans lesquelles figurent un exemple de script d'ouverture de session et l'algorithme utilisé par la stratégie de groupe pour détecter les liaisons lentes. Indiquez l'ordre dans lequel Microsoft Windows Server 2003 traite les paramètres de stratégie de groupe pour les ordinateurs et les utilisateurs. Application pratique Au cours des applications pratiques et à la fin de la leçon. orientez les stagiaires vers les annexes. demandez aux stagiaires de se reporter au scénario d'entreprise pour configurer le traitement de la stratégie de groupe. les stagiaires vont apprendre comment contrôler le traitement de la stratégie de groupe et comment la stratégie de groupe détermine une liaison lente. ils disposent d'un corrigé de chacun des ateliers sur le CD-ROM du stagiaire. orientez-les vers le module 8. Indiquez aux stagiaires les annexes à consulter pour plus d'informations sur les conteneurs de Stratégies de groupe. notamment comment spécifier un contrôleur de domaine pour la gestion des objets Stratégie de groupe (GPO. du cours 2144A. Ils peuvent également se reporter aux applications pratiques et aux procédures du module. Administration d'un environnement Microsoft Windows Server 2003. Leçon : Configuration des fréquences d'actualisation et des paramètres de stratégie de groupe Dans cette leçon. puis montrez les procédures de configuration du traitement de la stratégie de groupe. Comme ces concepts sont décrits en détail dans le cours 2144A. Leçon : Création et configuration d'objets Stratégie de groupe Dans cette leçon. La leçon débute par une présentation multimédia expliquant les concepts de base de la stratégie de groupe. « Implémentation d'une stratégie de groupe ». Pour plus d'informations sur le traitement des stratégies de groupe. . les stagiaires passent en revue les concepts de base de l'implémentation d'une stratégie de groupe. Si certains stagiaires ne connaissent pas les concepts de base de la stratégie de groupe. Group Policy Object). Module 5 : Implémentation d'une stratégie de groupe v Si les stagiaires ont besoin d'instructions détaillées pour mener à bien l'atelier. Application pratique Au cours des applications pratiques et à la fin de la leçon. ou encore comment configurer le mode de traitement par boucle de rappel de la stratégie de groupe utilisateur. demandez aux stagiaires de se reporter au scénario d'entreprise pour créer et configurer des objets Stratégie de groupe. comment filtrer les paramètres de stratégie de groupe à l'aide des filtres WMI (Windows Management Instrumentation). l'animation résume simplement les tâches.

ainsi que les stratégies de résolution de ces problèmes. demandez aux stagiaires de se reporter au scénario d'entreprise pour déléguer le contrôle administratif de la stratégie de groupe. Rappelez aux stagiaires que lorsqu'ils installent la console Gestion de stratégie de groupe (GPMC. celle-ci remplace l'onglet Stratégie de groupe du composant Utilisateurs et ordinateurs Active Directory. . Application pratique Au cours des applications pratiques et à la fin de la leçon. demandez aux stagiaires de se reporter au scénario d'entreprise pour vérifier et résoudre les problèmes liés à la stratégie de groupe.exe pour la vérification des paramètres de stratégie de groupe. Group Policy Management Console). Leçon : Vérification et résolution des problèmes liés à la stratégie de groupe Cette leçon décrit les différents utilitaires et outils de ligne de commande utilisés pour identifier les problèmes courants liés à l'implémentation d'une stratégie de groupe. Leçon : Délégation du contrôle administratif de la stratégie de groupe Dans cette leçon. Expliquez comment la console Gestion de stratégie de groupe a simplifié la délégation de stratégie de groupe. les stagiaires apprennent à gérer des objets Stratégie de groupe à l'aide de la nouvelle fonctionnalité de gestion de stratégie de groupe de Windows Server 2003. et sur l'activation de l'enregistrement des diagnostics et de l'enregistrement des commentaires pour le contrôle de la stratégie de groupe. les stagiaires apprennent à déléguer le contrôle administratif d'un objet Stratégie de groupe à des utilisateurs qui ont besoin de ce contrôle mais ne disposent pas de privilèges administratifs pour le conteneur auquel l'objet est lié. Application pratique Au cours des applications pratiques et à la fin de la leçon. demandez aux stagiaires de se reporter au scénario d'entreprise pour gérer des objets Stratégie de groupe. Application pratique Au cours des applications pratiques et à la fin de la leçon.vi Module 5 : Implémentation d'une stratégie de groupe Leçon : Gestion des objets Stratégie de groupe Dans cette leçon. Indiquez aux stagiaires les annexes à consulter pour plus d'informations sur la délégation du contrôle administratif. Orientez les stagiaires vers la page d'annexe pour plus d'informations sur l'utilisation de l'outil de ligne de commande Gpresult.

Assurez-vous que la console Gestion de stratégie de groupe est installée avant qu'ils ne débutent l'atelier. Atelier A : Implémentation d'une stratégie de groupe Dans cet atelier. Accounts Receivable (Créances) et Accounts Payable (Dettes) . demandez aux stagiaires de se reporter au scénario d'entreprise pour planifier une stratégie de groupe pour l'entreprise. ! Elle crée des objets Stratégie de groupe Accounting. Résultats de l'atelier L'exécution de l'atelier de ce module induit les changements de configuration ci-dessous. Avant de préparer les ordinateurs des stagiaires. les stagiaires créent et configurent des objets Stratégie de groupe. l'administration et le déploiement des objets Stratégie de groupe. Configuration requise 1 L'atelier de ce module requiert l'installation de la console Gestion de stratégie de groupe. Les stagiaires travaillent de manière autonome. Discutez des instructions permettant de déterminer l'héritage des objets Stratégie de groupe. domaines et unités d'organisation (OU. Organizational Unit). . Configuration de l'atelier La liste suivante décrit la configuration requise pour l'atelier de ce module. lient des objets Stratégie de groupe et vérifient les paramètres de stratégie de groupe. Application pratique Au cours des applications pratiques et à la fin de la leçon. Accounts Receivable et Accounts Payable. Module 5 : Implémentation d'une stratégie de groupe vii Leçon : Planification d'une stratégie de groupe pour l'entreprise Cette leçon fournit les instructions nécessaires pour planifier une stratégie de groupe. assurez-vous qu'ils ont terminé l'application pratique intitulée Création et configuration d'objets Stratégie de groupe. ! Elle crée des unités d'organisation Accounting (comptabilité). la stratégie de groupe pour des sites.

.

Par ailleurs. Module 5 : Implémentation d'une stratégie de groupe 1 Vue d'ensemble ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction L'utilisation de la stratégie de groupe dans le service d'annuaire Active Directory® permet de gérer de façon centralisée les utilisateurs et les ordinateurs d'une entreprise. Organizational Unit). vous pouvez décentraliser les paramètres de stratégie de groupe en définissant une stratégie de groupe pour chaque service au niveau d'une unité d'organisation. les objectifs et les besoins en matière de sécurité. Vous pouvez centraliser les stratégies en définissant une stratégie de groupe pour toute une organisation au niveau du domaine du site ou au niveau d'une unité d'organisation (OU. Objectifs À la fin de ce module. et en réduisant de ce fait le niveau de support technique nécessaire aux utilisateurs et la perte de productivité liée aux erreurs des utilisateurs. ! déléguer le contrôle administratif de la stratégie de groupe . ! vérifier et résoudre les problèmes liés à la stratégie de groupe . Ou bien. vous pouvez abaisser le coût total de possession en contrôlant les environnements utilisateur et ordinateur. ! configurer les fréquences d'actualisation de la stratégie de groupe et les paramètres de stratégie de groupe . ! planifier une stratégie de groupe pour l'entreprise. vous serez à même d'effectuer les tâches suivantes : ! créer et configurer des objets Stratégie de groupe (GPO. Vous pouvez vous assurer que chaque utilisateur dispose de l'environnement utilisateur dont il a besoin pour travailler. ! gérer les objets Stratégie de groupe . notamment les règles. tout en appliquant les stratégies de l'organisation. . Group Policy Object) .

2 Module 5 : Implémentation d'une stratégie de groupe Leçon : Création et configuration d'objets Stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction La stratégie de groupe vous donne le contrôle administratif sur les utilisateurs et les ordinateurs de votre réseau. ! expliquer la finalité de la spécification d'un contrôleur de domaine pour la gestion des objets Stratégie de groupe . vous serez à même d'effectuer les tâches suivantes : ! expliquer la finalité de la stratégie de groupe et son traitement dans Active Directory . ! configurer le mode de traitement par boucle de rappel de la stratégie de groupe utilisateur. Objectifs de la leçon À la fin de cette leçon. ! expliquer la finalité du traitement par boucle de rappel . L'utilisation d'une stratégie de groupe vous permet de définir une seule fois l'état de l'environnement de travail d'un utilisateur. Vous pouvez appliquer des paramètres de stratégie de groupe à une organisation entière ou à des groupes spécifiques d'utilisateurs et d'ordinateurs. ! spécifier un contrôleur de domaine pour la gestion des objets Stratégie de groupe . ! filtrer les paramètres de stratégie de groupe à l'aide de filtres WMI . puis de laisser Microsoft® Windows Server™ 2003 appliquer les paramètres de stratégie de groupe que vous avez définis. ! décrire les composants d'un objet Stratégie de groupe . ! expliquer le rôle des filtres WMI (Windows Management Instrumentation) . .

puis sur le titre de la présentation. Objectifs À la fin de cette leçon. cliquez sur Multimédia. Type de paramètre Description Modèles d'administration Paramètres basés sur le Registre permettant de configurer les paramètres d'application et les environnements de station de travail utilisateur. Module 5 : Implémentation d'une stratégie de groupe 3 Présentation multimédia : Introduction aux stratégies de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Emplacement de fichier Pour commencer la présentation Introduction aux stratégies de groupe. . Remote Installation Services). Le tableau suivant présente les types de paramètres que vous pouvez configurer. Services d'installation Paramètres qui contrôlent les options dont disposent les à distance utilisateurs lorsqu'ils exécutent l'Assistant Installation de clients utilisé par les services d'installation à distance (RIS. Types de paramètres Vous pouvez configurer des paramètres de stratégie de groupe pour définir les stratégies affectant les utilisateurs et les ordinateurs. N'ouvrez pas cette présentation avant d'y être invité par l'instructeur. Scripts Paramètres permettant de spécifier à quel moment Windows Server 2003 exécute des scripts spécifiques. ouvrez la page Web sur le CD-ROM des stagiaires. Maintenance Internet Paramètres permettant d'administrer et de personnaliser Explorer Microsoft Internet Explorer sur des ordinateurs exécutant Windows Server 2003. vous serez à même d'effectuer les tâches suivantes : ! décrire les types de paramètres que vous pouvez définir dans une stratégie de groupe . ! décrire la façon dont Windows Server 2003 applique des objets Stratégie de groupe.

Stratégie de groupe à Ces paramètres sont traités comme des paramètres à valeur simple. . sauf si vous modifiez également la liaison. l'option Appliqué ne s'applique pas à cette liaison. S'ils comportent des paramètres en conflit. des mises à jour et des suppressions de logiciels. Blocage de l'héritage Vous pouvez empêcher un conteneur enfant d'hériter de tous les objets Stratégie de groupe de ses conteneurs parents en activant le blocage de l'héritage pour le conteneur enfant. vous pouvez filtrer la stratégie de groupe pour qu'elle s'applique uniquement aux ordinateurs et utilisateurs spécifiés. domaines et unités d'organisation. Filtrer des objets Vous pouvez avoir besoin de lier des objets Stratégie de groupe associés à Stratégie de groupe d'autres objets d'annuaire. En définissant les autorisations appropriées pour les groupes de sécurité.4 Module 5 : Implémentation d'une stratégie de groupe (suite) Type de paramètre Description Redirection de dossiers Paramètres permettant de stocker des dossiers de profils d'utilisateurs spécifiques sur un serveur réseau. vous pouvez configurer l'option Appliqué individuellement pour chaque conteneur. En d'autres valeurs multiples termes. Le blocage de l'héritage peut s'avérer utile lorsqu'un conteneur Active Directory requiert des paramètres de stratégie de groupe uniques. Windows Server 2003 applique d'abord les objets au site. si le paramètre est défini dans plusieurs objets Stratégie de groupe. et enfin aux unités d'organisation des domaines. les objets Stratégie de groupe liés sont appliqués à un conteneur commun. Vous pouvez définir des stratégies centralisées qui vont affecter l'organisation entière et des stratégies décentralisées qui affecteront un service particulier. Si un objet Stratégie de groupe est lié à plusieurs conteneurs. l'objet Stratégie de groupe le plus haut dans la hiérarchie Active Directory est prioritaire. et non de l'objet Stratégie de groupe. Flux d'héritage Les objets Stratégie de groupe sont liés à des sites. Option Appliqué L'option Appliqué (appelée Ne pas passer outre si la console Gestion de stratégie de groupe n'est pas installée) est un attribut de la liaison. Si le même objet Stratégie de groupe est lié ailleurs. Paramètres des objets Certains paramètres des objets Stratégie de groupe sont à valeurs multiples. puis aux domaines. avec les unités parent-enfant. Il n'existe pas de hiérarchie de domaines comme pour les unités d'organisation. Ordre de traitement L'ordre dans lequel Windows Server 2003 applique des objets Stratégie de des objets Stratégie groupe est fonction du conteneur Active Directory auquel les objets Stratégie de de groupe groupe sont liés. Installation de logiciels Paramètres permettant de centraliser la gestion des installations. seuls les paramètres de l'un des objets Stratégie de groupe observant les règles d'héritage seront appliqués. Lorsque plusieurs liaisons sont définies sur Appliqué. du domaine et du réseau. Sécurité Paramètres permettant de configurer la sécurité des ordinateurs locaux.

Module 5 : Implémentation d'une stratégie de groupe 5 Console Gestion de La console Gestion de stratégie de groupe est composée d'un ensemble stratégie de groupe d'interfaces programmables destinées à la gestion des stratégies de groupe et d'un composant logiciel enfichable MMC (Microsoft Management Console) basé sur ces interfaces programmables. les composants de la console Gestion de stratégie de groupe unifient la gestion des stratégies de groupe dans l'entreprise. Remarque Pour plus d'informations sur la création et la liaison d'objets Stratégie de groupe et l'héritage des stratégies de groupe. . Ensemble. Administration d'un environnement Microsoft Windows Server 2003. reportez-vous au module 8 « Implémentation d'une stratégie de groupe » du cours 2144A.

y compris les modèles d'administration. Windows Server 2003 crée le modèle Stratégie de groupe correspondant qui contient tous les paramètres et informations de stratégie de groupe. Si le contrôleur de domaine ne possède pas la dernière version de l'objet Stratégie de groupe. la sécurité. la réplication a lieu.6 Module 5 : Implémentation d'une stratégie de groupe Composants d'un objet Stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Windows Server 2003 applique les paramètres de stratégie de groupe contenus dans l'objet Stratégie de groupe aux objets utilisateur et ordinateur du site. Lorsque vous créez un objet Stratégie de groupe. du domaine ou de l'unité d'organisation associé à l'objet Stratégie de groupe. Conteneur Stratégie Le conteneur Stratégie de groupe est un objet Active Directory qui contient de groupe l'état de l'objet Stratégie de groupe. Group Policy Template). . Les ordinateurs se connectent au dossier SYSVOL pour obtenir les paramètres. les scripts et les paramètres de redirection de dossiers. Les ordinateurs peuvent accéder au conteneur Stratégie de groupe pour localiser des modèles Stratégie de groupe. et les contrôleurs de domaine peuvent y accéder pour obtenir des informations de version. les informations de filtre WMI et une liste des composants dont les paramètres se trouvent dans l'objet Stratégie de groupe. Le contenu d'un objet Stratégie de groupe est stocké à deux emplacements : dans le conteneur Stratégie de groupe (GPC. les informations de version. Group Policy Container) et dans le modèle Stratégie de groupe (GPT. l'installation de logiciel. Modèle Stratégie Le modèle Stratégie de groupe est une arborescence de dossiers située dans le de groupe dossier SYSVOL d'un contrôleur de domaine.

Il est identique au GUID utilisé par Active Directory pour identifier l'objet Stratégie de groupe dans le conteneur Stratégie de groupe. reportez-vous à la section « Composants d'un objet Stratégie de groupe » du module 5. Le chemin d'accès au modèle Stratégie de groupe d'un contrôleur de domaine est racine_système\SYSVOL\sysvol. Remarque Pour plus d'informations sur le modèle Stratégie de groupe. à la page Annexes du CD-ROM des stagiaires. Module 5 : Implémentation d'une stratégie de groupe 7 Le nom du dossier du modèle Stratégie de groupe est l'identificateur unique global (GUID. . Globally Unique IDentifier) de l'objet Stratégie de groupe que vous avez créé.

et ce. en fonction de la latence de réplication. Active Directory utilise deux mécanismes de réplication indépendants pour répliquer les données des objets Stratégie de groupe sur les différents contrôleurs de domaine du domaine. Par exemple. vous pouvez cibler un contrôleur de domaine à cet emplacement. d'autant plus que les données de l'objet Stratégie de groupe résident domaine particulier ? à la fois dans Active Directory et dans le dossier SYSVOL. si vous vous trouvez sur un site distant. . ou si la majorité des utilisateurs ou des ordinateurs ciblés par l'objet Stratégie de groupe se trouve dans un emplacement distant. envisagez de sélectionner un contrôleur un contrôleur de de domaine. Il peut cependant arriver que vous ne souhaitiez pas utiliser l'émulateur PDC. File Replication Services). la console Gestion de stratégie de groupe utilise l'émulateur PDC de chaque domaine pour garantir que tous les administrateurs utilisent le même contrôleur de domaine. Émulateur PDC Par défaut. il est recommandé qu'ils utilisent tous le même contrôleur de domaine pour modifier un objet Stratégie de groupe particulier. les modifications de l'un des administrateurs risquent de remplacer celles de l'autre. Pourquoi sélectionner Afin d'éviter les conflits de réplication.8 Module 5 : Implémentation d'une stratégie de groupe Pourquoi spécifier un contrôleur de domaine pour la gestion des objets Stratégie de groupe ? ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction La console Gestion de stratégie de groupe utilise l'émulateur de contrôleur principal de domaine (PDC. Important Si plusieurs administrateurs gèrent un objet Stratégie de groupe commun. Primary Domain Controller) de chaque domaine comme contrôleur de domaine par défaut. afin d'éviter les collisions au niveau des services de réplication de fichiers (FRS. Si deux administrateurs modifient simultanément un même objet Stratégie de groupe sur des contrôleurs de domaine différents.

à utiliser de préférence. Il s'agit de l'option par défaut. Cette option n'est pas disponible dans les environnements comportant à la fois des serveurs Windows Server 2003 et Windows 2000. Lorsque vous utilisez cette option. vous sélectionnez le contrôleur de domaine actuel. ! Tout contrôleur de domaine exécutant Windows Server 2003 ou version ultérieur. Lorsque vous utilisez cette option. . ! Tout contrôleur de domaine disponible. Module 5 : Implémentation d'une stratégie de groupe 9 Options de sélection Vous pouvez spécifier un contrôleur de domaine pour la gestion des objets d'un contrôleur de Stratégie de groupe en sélectionnant l'une des options suivantes : domaine ! Le contrôleur de domaine avec le jeton de maître d'opérations pour l'émulateur PDC. ! Ce contrôleur de domaine. vous allez probablement sélectionner un contrôleur de domaine du site local.

2. puis sur OK. puis cliquez sur Modifier le contrôleur de domaine.10 Module 5 : Implémentation d'une stratégie de groupe Comment spécifier un contrôleur de domaine pour la gestion des objets Stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Utilisez la console Gestion de stratégie de groupe pour spécifier un contrôleur de domaine pour des domaines ou des sites. développez la forêt. Procédure Pour spécifier un contrôleur de domaine. cliquez sur Ce contrôleur de domaine. sous Remplacer par. . cliquez avec le bouton droit sur Sites. développez Domaines. • Pour spécifier un contrôleur de domaine à utiliser pour des opérations sur sites. cliquez avec le bouton droit sur le domaine requis. puis cliquez sur Modifier le contrôleur de domaine. puis utilisez l'une des méthodes suivantes : • Pour spécifier un contrôleur de domaine à utiliser pour des opérations du domaine. Dans la boîte de dialogue Modifier le contrôleur de domaine. procédez comme suit : 1. Ouvrez la console Gestion de stratégie de groupe.

Chaque objet Stratégie de groupe ne peut comporter qu'un seul filtre WMI. Active Directory évalue le filtre sur l'ordinateur de destination. qui est un langage similaire à SQL pour interroger l'espace de stockage WMI. Module 5 : Implémentation d'une stratégie de groupe 11 Définition des filtres WMI ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Utilisez des filtres WMI pour déterminer de façon dynamique l'étendue des objets Stratégie de groupe à partir des attributs de l'utilisateur ou de l'ordinateur. Ordinateurs sur lesquels DHCP est installé et en cours d'exécution. Si toutes les requêtes sont vraies (true). Lorsque vous appliquez un un filtre WMI ? objet Stratégie de groupe à l'ordinateur de destination. Ordinateurs équipés d'un processeur Pentium III et d'au moins 128 mégaoctets (Mo) de mémoire vive. . Un filtre WMI se compose d'une ou de plusieurs requêtes évaluées par Active Directory en fonction de l'espace de stockage WMI de l'ordinateur de destination. ! Services. ! Inventaire matériel. les filtres WMI sont appliqués à un seul objet du domaine à la fois. vous pouvez étendre les capacités de filtrage des objets Stratégie de groupe au-delà des mécanismes de filtrage des groupes de sécurité qui étaient précédemment disponibles. Active Directory n'applique pas l'objet Stratégie de groupe. ! Configuration logicielle. La liste ci-dessous fournit quelques exemples d'utilisations de filtres WMI. Si la valeur totale des requêtes est faux (false). Tout comme les objets Stratégie de groupe. Comment fonctionne Un filtre WMI est lié à un objet Stratégie de groupe. Ordinateurs sur lesquels la multidiffusion est activée. Utilisations des Vous pouvez utiliser des filtres WMI pour cibler des stratégies basées sur filtres WMI différents objets du réseau. Vous pouvez en revanche lier un même filtre WMI à plusieurs objets Stratégie de groupe. Vous écrivez la requête à l'aide du langage WQL (WMI Query Language). Active Directory applique l'objet Stratégie de groupe. De cette façon.

reportez-vous à la section « Définition des filtres WMI » de la page d'annexe du module 5 sur le CD-ROM du stagiaire. . Remarque Pour plus d'informations sur les filtres WMI. Active Directory ignore les filtres WMI et applique toujours l'objet Stratégie de groupe.12 Module 5 : Implémentation d'une stratégie de groupe Pour les ordinateurs clients exécutant Windows 2000.

cliquez avec le bouton droit sur Filtres WMI. dans la zone Nom. entrez une instruction de requête WQL. vous devez spécifier l'espace de noms WMI où la requête doit être exécutée. . Module 5 : Implémentation d'une stratégie de groupe 13 Comment filtrer des paramètres de stratégie de groupe à l'aide de filtres WMI ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Vous pouvez créer de nouveaux filtres WMI à partir du conteneur Filtres WMI de la console Gestion de stratégie de groupe. entrez un nom pour la requête. Domaines. Pour chaque requête. puis sur Nouveau. cliquez sur Enregistrer. Dans la boîte de dialogue Requête WMI. Cliquez sur Ajouter. devrait convenir à la plupart des scénarios. Dans la boîte de dialogue Nouveau filtre WMI. 2. Dans la boîte de dialogue Nouveau filtre WMI. L'espace de noms par défaut. puis faites glisser le filtre WMI vers un objet Stratégie de groupe. 5. entrez le chemin d'accès à l'espace de nom de la requête ou cliquez sur Parcourir pour afficher la liste des espaces de noms disponibles. procédez comme suit : 1. 4. entrez une description pour la requête. 8. Ouvrez la console Gestion de stratégie de groupe. 6. développez successivement la forêt contenant l'objet Stratégie de groupe auquel ajouter un filtre WMI. Dans la zone Description. Dans la zone Requête. Procédure Pour créer un filtre WMI et le lier à un objet Stratégie de groupe. racine\CIMv2. 3. puis cliquez sur OK. 7. Filtres WMI. le domaine contenant l'objet Stratégie de groupe. Vous pouvez également importer un filtre qui a été précédemment exporté. dans la zone Espace de noms. Développez Objets de stratégie de groupe.

D ou E. les partitions doivent se trouver sur un ou plusieurs disques durs et exécuter le système de fichiers NTFS. reportez-vous à la section « Comment filtrer des paramètres de stratégie de groupe à l'aide de filtres WMI » de la page d'annexe du module 5 sur le CD-ROM du stagiaire.14 Module 5 : Implémentation d'une stratégie de groupe Exemple de Par exemple. Remarque Pour plus d'informations sur les filtres WMI. pour cibler les ordinateurs disposant de plus de 10 Mo d'espace requête WQL disponible sur le lecteur C. . Les unités FreeSpace sont exprimées en octets (10 Mo = 10 485 760 octets). Tapez la requête WMI suivante : Select * FROM Win32LogicalDisk WHERE (Name = "C:" OR Name = "D:" OR Name = "E:") AND DriveType = 3 AND FreeSpace > 10485760 AND FileSystem = "NTFS" Dans cet exemple. la valeur 3 de DriveType correspond à un disque dur.

l'utilisateur dont l'objet utilisateur se trouve dans l'unité d'organisation Sales (ventes) ouvre une session sur un ordinateur. Exemple Par exemple. Modes de traitement Le traitement par boucle de rappel peut être exécuté selon deux modes : par boucle de rappel ! Mode de remplacement. Ce mode combine les paramètres utilisateur définis dans les objets Stratégie de groupe de l'ordinateur avec les paramètres utilisateur habituellement appliqués à l'utilisateur. . Le traitement par boucle de rappel est destiné à des ordinateurs à usage spécial. où il faut modifier le paramètre utilisateur en fonction de l'ordinateur utilisé. ! Mode de fusion. tels que ceux des endroits publics. Toutefois. les paramètres utilisateur des objets Stratégie de groupe de l'ordinateur sont prioritaires sur les paramètres habituels de l'utilisateur. le traitement par boucle de rappel applique l'ensemble des objets Stratégie de groupe de l'ordinateur à tout utilisateur qui ouvre une session sur l'ordinateur affecté par ce paramètre. des applications affectées à un utilisateur ne doivent pas être automatiquement disponibles sur un serveur. ce comportement par défaut peut ne pas être adapté à certains serveurs ou ordinateurs dédiés à une tâche particulière. des laboratoires et des classes. En cas de paramètres en conflit. L'objet ordinateur se trouve dans l'unité d'organisation Servers (serveurs). les objets Stratégie de groupe d'un utilisateur déterminent les paramètres à appliquer lorsque l'utilisateur ouvre une session sur un ordinateur. En revanche. Ainsi. Module 5 : Implémentation d'une stratégie de groupe 15 Définition du traitement par boucle de rappel ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Par défaut. Les paramètres de stratégie de groupe appliqués à l'utilisateur sont basés sur les objets Stratégie de groupe liés à l'unité d'organisation Sales ou à tout conteneur parent. Ce mode remplace les paramètres utilisateur définis dans les objets Stratégie de groupe de l'ordinateur par les paramètres utilisateur habituellement appliqués à l'utilisateur. Les paramètres appliqués à l'ordinateur sont basés sur les objets Stratégie de groupe liés à l'unité d'organisation Servers ou à tout conteneur parent.

développez successivement Configuration de l'ordinateur. Sous Mode. Domaines. votre domaine. cliquez sur Remplacer ou Fusionner. . Double-cliquez sur Mode de traitement par boucle de rappel de la stratégie de groupe utilisateur. procédez comme suit : 1. 2. Ouvrez la console Gestion de stratégie de groupe. puis cliquez sur Stratégie de groupe. Dans l'Éditeur d'objets de stratégie de groupe.16 Module 5 : Implémentation d'une stratégie de groupe Comment configurer le mode de traitement par boucle de rappel de la stratégie de groupe utilisateur ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Pour activer le traitement par boucle de rappel. Modèles d'administration. 5. développez successivement la forêt. Procédure Pour configurer le mode de traitement par boucle de rappel de la stratégie de groupe utilisateur. Dans le volet de détails. puis cliquez sur Objets de stratégie de groupe. puis cliquez sur Activé. s'il n'est pas déjà sélectionné. sélectionnez l'option Mode de traitement par boucle de rappel de la stratégie de groupe utilisateur dans la console Gestion de stratégie de groupe. cliquez avec le bouton droit sur l'objet Stratégie de groupe. puis cliquez sur OK. 4. puis cliquez sur Modifier. Système. 3.

Module 5 : Implémentation d'une stratégie de groupe 17

Application pratique : Création et configuration d'objets Stratégie
de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************
Objectifs Dans cette application pratique, vous allez installer la console Gestion de
stratégie de groupe, puis créer et configurer des objets Stratégie de groupe pour
votre domaine.
Scénario En tant qu'ingénieur système chez Northwind Traders, vous êtes responsable de
l'implémentation de la stratégie de groupe de l'organisation. Vous allez installer
la console Gestion de stratégie de groupe et créer des objets Stratégie de groupe
pour faire appliquer l'environnement de Bureau. Vous allez supprimer l'option
de menu Exécuter pour tous les utilisateurs, puis supprimer la commande
Arrêter du menu. Vous pourrez également appliquer cette stratégie aux seuls
ordinateurs dont le lecteur C contient au moins 10 Mo d'espace disque
disponible et qui sont configurés avec le système de fichiers NTFS.
Application pratique :
Installation de la
! Installer la console Gestion de stratégie de groupe
console Gestion de 1. Ouvrez une session dans votre domaine en tant que Nom_OrdinateurUser
stratégie de groupe (Nom_Ordinateur désignant le nom de l'ordinateur sur lequel vous
travaillez) avec le mot de passe P@ssw0rd.
2. Cliquez sur Démarrer, cliquez avec le bouton droit sur Invite de
commande, puis sur Exécuter en tant que.
3. Dans la boîte de dialogue Exécuter en tant que, cliquez sur L'utilisateur
suivant, tapez Nwtradersx\Administrateur comme nom d'utilisateur, le
mot de passe P@ssw0rd et cliquez sur OK.
4. À l'invite de commands, tapez \LONDON\SETUP\GPMC.MSI et
appuyez sur ENTRÉE.
5. Dans la boîte de dialogue Téléchargement de fichier, cliquez sur Ouvrir.
6. Dans la page Assistant Installation du logiciel « Console de gestion de la
stratégie de groupe Microsoft », cliquez sur Suivant.
7. Dans la page Contrat de licence, cliquez sur J'accepte, puis sur Suivant.

18 Module 5 : Implémentation d'une stratégie de groupe

8. Dans la page Fin de l'exécution de l'Assistant Installation du logiciel
« Console de gestion de la stratégie de groupe Microsoft », cliquez sur
Terminer.
9. Fermez l'invite de commande.
Application
pratique : Création et
! Créer et configurer des objets Stratégie de groupe
configuration d'objets 1. Cliquez sur Démarrer, pointez sur Outils d'administration, cliquez avec
Stratégie de groupe le bouton droit sur Gestion de stratégie de groupe, puis cliquez sur
Exécuter en tant que.
2. Dans la boîte de dialogue Exécuter en tant que, cliquez sur L'utilisateur
suivant, tapez Votre_Domaine\Administrateur comme nom d'utilisateur, le
mot de passe P@ssw0rd et cliquez sur OK.
3. Développez successivement Forêt, Domaines, votre domaine, Objets de
stratégie de groupe, cliquez avec le bouton droit sur Objets de stratégie
de groupe, puis cliquez sur Nouveau.
4. Donnez le nom de GPO_pratique à votre objet Stratégie de groupe, puis
cliquez sur OK.
5. Cliquez avec le bouton droit sur le nom de votre domaine, cliquez sur Lier
un objet Stratégie de groupe existant, cliquez sur GPO_pratique, puis
cliquez sur OK.
6. Cliquez avec le bouton droit sur GPO_pratique, puis cliquez sur Modifier.
7. Dans l'Éditeur d'objets de stratégie de groupe, développez successivement
Configuration utilisateur, Modèles d'administration, puis cliquez sur
Menu Démarrer et Barre de tâches.
8. Dans le volet de détails, double-cliquez sur Supprimer le menu Exécuter
du menu Démarrer, cliquez sur Activé, puis sur OK.
9. Dans le volet de détails, double-cliquez sur Supprimer et empêcher l'accès
à la commande Arrêter, cliquez sur Activé, puis sur OK.
10. Fermez l'Éditeur d'objets de stratégie de groupe.
11. Dans la console Gestion de stratégie de groupe, développez et cliquez avec
le bouton droit sur Filtres WMI, puis cliquez sur Nouveau.
12. Donnez le nom de Filtre_pratique au filtre WMI, cliquez sur Ajouter,
entrez la requête appropriée pour extraire les informations requises, cliquez
sur OK, puis cliquez sur Enregistrer.
13. Dans l'arborescence de la console, dans la liste sous Objets de stratégie de
groupe, cliquez sur GPO_pratique.
14. Dans le volet de détails, sélectionnez Filtre_pratique dans la zone Cet
objet Stratégie de groupe est lié au filtre WMI suivant.
15. Dans la boîte de dialogue Gestion des stratégies de groupe, cliquez
sur Oui.
16. Fermez la console Gestion de stratégie de groupe.

Module 5 : Implémentation d'une stratégie de groupe 19

Leçon : Configuration des fréquences d'actualisation et
des paramètres de stratégie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************
Introduction Windows Server 2003 exécute les paramètres et les stratégies d'ordinateur et
d'utilisateur selon un ordre spécifique. Comprendre le traitement des stratégies
de groupe et leur ordre d'exécution vous permettra de créer les scripts
appropriés et de configurer les fréquences d'actualisation.
Objectifs de la leçon À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
! expliquer le processus d'application de la stratégie de groupe ;
! affecter des paramètres de scripts de stratégie de groupe ;
! configurer les fréquences d'actualisation des composants de la stratégie
de groupe ;
! configurer les fréquences d'actualisation des contrôleurs de domaine et
des ordinateurs ;
! actualiser les paramètres de stratégie de groupe sur l'ordinateur d'un
utilisateur à l'aide de Gpupdate.exe.

20 Module 5 : Implémentation d'une stratégie de groupe

À quel moment la stratégie de groupe est-elle appliquée ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************
Introduction Lorsqu'un utilisateur démarre un ordinateur et ouvre une session,
Windows Server 2003 traite d'abord les paramètres de l'ordinateur, puis ceux
de l'utilisateur.
Ordre d'application de Lorsqu'un utilisateur démarre un ordinateur et ouvre une session, les actions
la stratégie de groupe suivantes se déclenchent :
1. Le réseau démarre. Le service RPCSS (Remote Procedure Call System
Service) et le MUP (Multiple Universal Naming Convention Provider)
démarrent.
2. Windows Server 2003 obtient la liste classée des objets Stratégie de groupe
pour l'ordinateur. Cette liste dépend des facteurs suivants :
• L'ordinateur fait-il partie d'un domaine ? Dans ce cas, il est sujet à la
stratégie de groupe via Active Directory.
• L'emplacement de l'ordinateur dans Active Directory.
• La liste des objets Stratégie de groupe a-t-elle été modifiée ?
3. Windows Server 2003 applique la stratégie de l'ordinateur. Il s'agit des
paramètres se trouvant sous Configuration de l'ordinateur dans la liste des
objets Stratégie de groupe obtenue. Cette liste est synchrone par défaut, et
s'affiche dans l'ordre suivant : local, domaine, unité d'organisation, unité
d'organisation enfant. Aucune interface utilisateur n'apparaît lors du
traitement des stratégies de l'ordinateur.

Module 5 : Implémentation d'une stratégie de groupe 21

4. Les scripts de démarrage s'exécutent. Par défaut, les scripts sont masqués et
synchrones. Chaque script doit se terminer ou son délai d'exécution doit être
écoulé pour que le suivant puisse démarrer. Le délai d'attente par défaut est
de 600 secondes. Vous pouvez utiliser les paramètres de stratégie de groupe
pour modifier la valeur de ce paramètre.

Remarque Vous pouvez régler la valeur du délai d'attente en configurant le
temps d'attente dans « Délai d'attente maximal pour les scripts de stratégie
de groupe » sous Configuration de l'ordinateur\Modèles d'administration\
Système\Scripts\. Ce paramètre affecte tous les scripts qui s'exécutent.

5. L'utilisateur appuie sur la combinaison de touches CTRL-ALT-SUPPR pour
ouvrir une session.
6. Une fois que Windows Server 2003 a validé l'utilisateur, il charge le profil
utilisateur, lequel est contrôlé par les paramètres de stratégie de groupe en
vigueur.
7. Windows Server 2003 obtient la liste classée des objets Stratégie de groupe
pour l'utilisateur. Cette liste dépend des facteurs suivants :
• L'utilisateur fait-il partie d'un domaine ? Dans ce cas, il est sujet à la
stratégie de groupe via Active Directory.
• Le traitement par boucle de rappel est-il activé ? Quel est l'état du
paramètre de stratégie de bouclage ?
• L'emplacement de l'utilisateur dans Active Directory.
• La liste des objets Stratégie de groupe a-t-elle été modifiée ?
8. Windows Server 2003 applique la stratégie de l'utilisateur, laquelle inclut les
paramètres se trouvant sous Configuration utilisateur dans la liste obtenue.
Ces paramètres sont synchrones par défaut, et s'affichent dans l'ordre
suivant : local, domaine, unité d'organisation, unité d'organisation enfant.
Aucune interface utilisateur n'apparaît lors du traitement des stratégies de
l'utilisateur.
9. Les scripts d'ouverture de session s'exécutent. Par défaut, ces scripts basés
sur la stratégie de groupe sont masqués et asynchrones.
10. L'interface utilisateur du système d'exploitation prescrite par la stratégie de
groupe s'affiche.

Intervalle d'actualisation Les ordinateurs exécutant Windows Server 2003 actualisent ou réappliquent
utilisateur ou ordinateur les paramètres de stratégie de groupe à intervalles définis. L'actualisation des
paramètres permet de s'assurer que les paramètres de stratégie de groupe sont
appliqués aux ordinateurs et aux utilisateurs même si ces derniers ne
redémarrent jamais leur ordinateur ou ne ferment jamais leur session.

Remarque Pour savoir quand la stratégie de groupe est appliquée et obtenir un
exemple de script d'ouverture de session, reportez-vous à la section « À quel
moment la stratégie de groupe est-elle appliquée ? » de la page d'annexe du
module 5 sur le CD-ROM du stagiaire.

22 Module 5 : Implémentation d'une stratégie de groupe

Comment affecter des paramètres de script de stratégie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************
Introduction Lorsque vous implémentez un script, vous utilisez la stratégie de groupe pour
ajouter le script au paramètre approprié du modèle Stratégie de groupe afin qu'il
s'exécute au démarrage, à l'arrêt, à l'ouverture ou à la fermeture de session.
Procédure de copie Pour copier un script dans le modèle Stratégie de groupe approprié, procédez
d'un script comme suit :
1. Utilisez l'Explorateur Windows pour rechercher le script sur votre
disque dur.
2. Modifiez l'objet Stratégie de groupe approprié dans la console Gestion de
stratégie de groupe, développez Configuration ordinateur (pour les scripts
de démarrage et d'arrêt) ou Configuration utilisateur (pour les scripts
d'ouverture et de fermeture de session), développez Paramètres Windows,
puis cliquez sur Scripts.
3. Double-cliquez sur le type de script approprié (Démarrage, Arrêter le
sytème, Ouverture de session ou Fermer la session), puis cliquez sur
Afficher les fichiers.
4. Copiez le fichier de script depuis l'Explorateur Windows dans la fenêtre qui
s'affiche, puis fermez la fenêtre.

Important Vous ne pouvez pas effectuer cette tâche à l'aide de la
commande Exécuter en tant que : vous devez avoir ouvert une session
en tant qu'Administrateur.

Procédure d'ajout Pour ajouter un script à un objet Stratégie de groupe, procédez comme suit :
du script
1. Dans la boîte de dialogue Propriétés du type de script, cliquez sur Ajouter.
2. Cliquez sur Parcourir, sélectionnez un script, puis cliquez sur Ouvrir.

Module 5 : Implémentation d'une stratégie de groupe 23

3. Ajoutez les paramètres de script nécessaires, puis cliquez sur OK.

Remarque Pour plus d'informations sur la création d'un script en langage
Microsoft Visual Basic®, Scripting Edition (VBScript), reportez-vous aux
cours 2433, Microsoft Visual Basic Scripting Edition and Microsoft Windows
Script Host Essentials (en anglais) et 2439, WMI Scripting (en anglais).

24 Module 5 : Implémentation d'une stratégie de groupe

Comment configurer les fréquences d'actualisation des
composants de la stratégie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************
Introduction Si la stratégie de groupe détecte une liaison lente, elle paramètre un indicateur
pour signaler la liaison aux extensions côté client. Ces dernières peuvent alors
déterminer s'il est nécessaire de traiter les paramètres de stratégie de groupe
applicables.
Stratégie de groupe La stratégie de groupe compare la vitesse de connexion de la liaison au taux de
et liaisons lentes 500 kilobits par seconde (kbits/s) — vitesse considérée comme lente — ou au
seuil de votre choix. La stratégie de groupe utilise un algorithme afin de
déterminer si une liaison est ou non considérée comme lente.
Paramètres par défaut Le tableau suivant répertorie les paramètres par défaut pour le traitement des
liaisons lentes.
Traitement des Modification
Extension côté client liaisons lentes Actualisé possible ?

Traitement de la stratégie du Actif Actif Non
Registre
Traitement de la stratégie de Inactif Actif Oui
maintenance Internet Explorer
Traitement de la stratégie Inactif N/A Oui
d~installation de logiciels
Traitement de la stratégie de Inactif N/A Oui
redirection de dossiers
Traitement de la stratégie de scripts Inactif Actif Oui
Traitement de la stratégie de Actif Actif Non
sécurité

Module 5 : Implémentation d'une stratégie de groupe 25

(suite)
Traitement des Modification
Extension côté client liaisons lentes Actualisé possible ?

Traitement de la stratégie de Inactif Actif Oui
sécurité IP
Traitement de la stratégie sans fil Inactif Actif Oui
Traitement de la stratégie de Actif Actif Oui
récupération ESF
Traitement de la stratégie de quota Inactif Actif Oui
de disque

Procédure Pour configurer les composants de la stratégie de groupe qui sont actualisés et
peuvent être modifiés, procédez comme suit :
1. Ouvrez l'objet Stratégie de groupe approprié de la stratégie de groupe,
développez successivement Configuration ordinateur, Modèles
d'administration, Système, cliquez sur Stratégie de groupe, puis cliquez
sur chaque élément du tableau précédent.
2. Cliquez sur Activé.
3. Cliquez sur Ne pas appliquer lors des traitements en tâche de fond
périodiques.
4. Si l'option est disponible, cliquez sur Autoriser le traitement sur une
connexion réseau lente, puis cliquez sur OK.

Remarque Pour plus d'informations sur l'algorithme utilisé par la stratégie de
groupe pour détecter les liaisons lentes, reportez-vous à la section « Comment
configurer les fréquences d'actualisation des composants de la stratégie de
groupe » de la page d'annexe du module 5 sur le CD-ROM du stagiaire.

26 Module 5 : Implémentation d'une stratégie de groupe

Comment configurer les fréquences d'actualisation des contrôleurs
de domaine et des ordinateurs

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************
Introduction Vous pouvez modifier les fréquences d'actualisation par défaut en modifiant les
paramètres de modèle d'administration pour une configuration utilisateur ou
ordinateur.
Intervalles Le tableau suivant répertorie les intervalles par défaut de l'actualisation de la
d'actualisation stratégie de groupe.
par défaut
Type d'ordinateur Intervalle d'actualisation

Ordinateurs exécutant Toutes les 90 minutes. Actualisation également en
Windows XP Professionnel et fonction d'un décalage aléatoire de 30 minutes, ce
serveurs membres d'un qui permet d'appliquer l'équilibrage de charges au
domaine exécutant Windows traitement des applications de stratégie de groupe et
Server 2003 permet de s'assurer que plusieurs ordinateurs ne
contactent pas un contrôleur de domaine au même
moment.
Contrôleurs de domaine Toutes les cinq minutes. De cette façon, les
nouveaux paramètres de stratégie de groupe
critiques, tels que les paramètres de sécurité, sont
appliqués au moins toutes les cinq minutes une fois
le paramètre par défaut modifié.

Module 5 : Implémentation d'une stratégie de groupe 27

Procédure Pour configurer les fréquences d'actualisation, procédez comme suit :
1. Ouvrez l'objet Stratégie de groupe approprié de la stratégie de groupe,
développez successivement Configuration utilisateur ou Configuration
ordinateur (selon l'objet Stratégie de groupe à modifier), Modèles
d'administration, Système, cliquez sur Stratégie de groupe, puis
double-cliquez sur l'un des paramètres suivants :
• Intervalle d'actualisation de la stratégie de groupe pour les
utilisateurs
• Intervalle d'actualisation de la stratégie de groupe pour les
ordinateurs
• Intervalle d'actualisation de la stratégie de groupe pour les
contrôleurs de domaine
2. Sélectionnez Activé.
3. Définissez l'intervalle d'actualisation en minutes.
4. Définissez le décalage aléatoire, puis cliquez sur OK.

Remarque Si vous avez désactivé ces paramètres, la stratégie de groupe est
mise à jour par défaut toutes les 90 minutes. Pour spécifier que la stratégie
de groupe ne doit jamais être mise à jour lorsque l'ordinateur est en cours
d'utilisation, sélectionnez l'option Désactiver l'actualisation en tâche de fond
des stratégies de groupe.

28 Module 5 : Implémentation d'une stratégie de groupe

Comment actualiser les paramètres de stratégie de groupe sur
l'ordinateur d'un utilisateur à l'aide de Gpupdate.exe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************
Introduction Vous pouvez actualiser un objet Stratégie de groupe à l'aide de la commande
gpupdate.
Procédure Pour actualiser les paramètres de stratégie de groupe sur l'ordinateur d'un
utilisateur à l'aide de la commande gpupdate, procédez comme suit :
1. Dans la boîte de dialogue Exécuter, tapez cmd et appuyez sur ENTRÉE.
2. Tapez
gpupdate [/target:{ordinateur|utilisateur}] [/force]
[/wait:valeur] [/logoff] [/boot]

Le tableau suivant décrit chacun des paramètres de la syntaxe de gpupdate.
Paramètre Description

/target:{ordinateur| Traite les paramètres de l'ordinateur ou les paramètres de l'utilisateur en cours,
utilisateur} selon la destination spécifiée. Si vous ne spécifiez pas ce paramètre, les paramètres
ordinateur et utilisateur sont traités par défaut.
/force Réapplique l'ensemble des paramètres et ignore le traitement des optimisations.
/wait:valeur Spécifie le délai d'attente (en secondes) avant que la stratégie ne se termine. La valeur
par défaut est de 600 secondes. La valeur 0 signifie « aucune attente » ; -1 correspond
à une attente indéfinie.
/logoff Ferme la session une fois l'actualisation de la stratégie terminée. Ce paramètre est
obligatoire pour les extensions de stratégie de groupe côté client qui ne sont pas
exécutées dans le cadre d'un cycle d'actualisation en arrière-plan, mais sont exécutées
lorsque l'utilisateur ouvre une session. Cette option est sans effet si aucune des
extensions appelées ne nécessite la déconnexion de l'utilisateur.

Module 5 : Implémentation d'une stratégie de groupe 29

(suite)
Paramètre Description

/boot Redémarre l'ordinateur une fois l'actualisation de la stratégie terminée. Le redémarrage de
l'ordinateur est obligatoire pour les extensions de stratégie de groupe côté client qui ne sont
pas exécutées dans le cadre d'un cycle d'actualisation en arrière-plan, mais sont exécutées au
démarrage de l'ordinateur. Cette option est sans effet si aucune des extensions appelées ne
nécessite le redémarrage de l'ordinateur.

Les membres de votre organisation voyagent fréquemment et utilisent des connexions lentes d'accès à distance. votre domaine. Ces fichiers doivent être à jour dès que l'utilisateur se connecte au réseau d'entreprise. . Domaines. Objets de stratégie de groupe. Ouvrez la console Gestion de stratégie de groupe en tant que Votre_Domaine\Administrateur à l'aide de la commande Exécuter en tant que. vous allez configurer l'intervalle d'actualisation de la stratégie de groupe pour des ordinateurs clients. En raison du nombre élevé d'objets Stratégie de groupe que vous devez modifier quotidiennement. cliquez sur Objets de stratégie de groupe. Développez successivement Forêt. puis cliquez sur Modifier.30 Module 5 : Implémentation d'une stratégie de groupe Application pratique : Configuration des fréquences d'actualisation de la stratégie de groupe et des paramètres de stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Objectifs Dans cette application pratique. Ils ont besoin d'avoir accès à des fichiers habituellement disponibles uniquement via une connexion réseau à un serveur de fichiers. Ils se rendent également souvent dans des agences lointaines raccordées au réseau d'entreprise via des connexions à haut débit. puis configurer les paramètres de stratégie de groupe pour la synchronisation des fichiers hors connexion. Vous devez configurer la disponibilité et la synchronisation des fichiers hors connexion dans la stratégie de groupe des utilisateurs qui ont besoin de cette fonctionnalité. 2. cliquez avec le bouton droit sur GPO_pratique. Scénario Northwind Traders repose largement sur la stratégie de groupe pour gérer les ordinateurs clients et conserver sa flexibilité à l'organisation. vous souhaitez diminuer le trafic réseau en réduisant de 180 minutes l'intervalle d'actualisation des ordinateurs clients et en utilisant un décalage aléatoire de 60 minutes. Application pratique ! Configurer les paramètres de stratégie de groupe 1.

Double-cliquez sur Synchroniser tous les fichiers hors connexion à l'ouverture de session. Réseau. Module 5 : Implémentation d'une stratégie de groupe 31 3. Dans l'Éditeur d'objets de stratégie de groupe. sous Configuration ordinateur. puis fermez la console Gestion de stratégie de groupe. 6. . 5. entrez l'intervalle de temps approprié. Double-cliquez sur Intervalle d'actualisation de la stratégie de groupe pour les ordinateurs. cliquez sur Activé. Système. Dans l'Éditeur d'objets de stratégie de groupe. cliquez sur Activé. puis cliquez sur fichiers hors connexion. puis cliquez sur Stratégie de groupe. sous Configuration utilisateur. développez successivement Modèles d'administration. puis sur OK. développez successivement Modèles d'administration. 4. 7. Fermez l'Éditeur d'objets de stratégie de groupe. puis cliquez sur OK.

.32 Module 5 : Implémentation d'une stratégie de groupe Leçon : Gestion des objets Stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Vous utilisez la console Gestion de stratégie de groupe pour gérer les objets Stratégie de groupe. Objectifs de la leçon À la fin de cette leçon. ! sauvegarder un objet Stratégie de groupe à l'aide de la console Gestion de stratégie de groupe . vous serez à même d'effectuer les tâches suivantes : ! expliquer la finalité de la copie d'un objet Stratégie de groupe . ! copier un objet Stratégie de groupe à l'aide de la console Gestion de stratégie de groupe . restaurer un objet Stratégie de groupe à partir de la sauvegarde. ! restaurer un objet Stratégie de groupe à l'aide de la console Gestion de stratégie de groupe . à savoir pour copier un objet Stratégie de groupe à un autre emplacement. ! expliquer la finalité de la sauvegarde d'un objet Stratégie de groupe . ! expliquer la finalité de la restauration d'un objet Stratégie de groupe . sauvegarder un objet Stratégie de groupe. ! importer des paramètres dans un objet Stratégie de groupe à l'aide de la console Gestion de stratégie de groupe. ! expliquer la finalité de l'importation de paramètres dans un objet Stratégie de groupe . ou encore importer dans un objet Stratégie de groupe les paramètres d'un autre objet Stratégie de groupe.

car les liaisons sont une propriété de l'objet ayant défini l'objet Stratégie de groupe plutôt qu'une propriété de l'objet Stratégie de groupe. C'est-à-dire qu'elle peut modifier les paramètres se rapportant aux entités de sécurité en convertissant les valeurs de ces entités en fonction du nouvel objet Stratégie de groupe. des références aux entités de sécurité et des chemins UNC (Universal Naming Convention) doivent figurer dans l'objet Stratégie de groupe source. Le nouvel objet Stratégie de groupe créé est non lié. L'objet Stratégie de groupe nouvellement créé est doté d'un nouvel identificateur unique global (GUID. Discretionary Access Control List) de l'objet Stratégie de groupe. Définition du mappage Lorsque vous copiez des objets Stratégie de groupe dans des domaines ou des des entités de sécurité forêts. Globally Unique IDentifier) et de la liste de contrôle d'accès discrétionnaire (DACL. Module 5 : Implémentation d'une stratégie de groupe 33 Définition d'une opération de copie ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction La copie d'un objet Stratégie de groupe transfert uniquement les paramètres de l'objet Stratégie de groupe. la console Gestion de stratégie de groupe peut effectuer un mappage des entités de sécurité. Comportement de Lorsque vous copiez un objet Stratégie de groupe d'un domaine vers un autre. mappage d'une vous devez spécifier le comportement du mappage des entités de sécurité pour opération de copie l'opération de copie. La console Gestion de stratégie de groupe offre deux techniques de mappage pour la copie des objets Stratégie de groupe : ! Copie identique à partir de la source ! Utilisation d'une table de migration pour mapper de nouvelles valeurs dans le nouvel objet Stratégie de groupe Pour utiliser l'une ou l'autre de ces méthodes. .

.34 Module 5 : Implémentation d'une stratégie de groupe Définition d'une table Si vous avez besoin d'une personnalisation supplémentaire. c'est-à-dire un fichier texte XML (eXtensible Markup Language) spécifiant le mappage personnalisé des entités de sécurité depuis le domaine source vers le domaine de destination. Utilisez ces sections pour définir des règles de mappage spécifiques. La table de migration comporte une section de mappage des entités de sécurité et une section de mappage des chemins d'accès. vous pouvez utiliser de migration des scripts pour implémenter une table de migration.

cliquez avec le bouton droit sur Objets de stratégie de groupe. vous devez avoir l'autorisation de créer des objets Stratégie de groupe dans le domaine de destination. cliquez sur OK. • Pour placer la copie de l'objet dans un autre domaine. Dans la page Assistant Copie entre domaines. développez le domaine de destination. i. puis cliquez sur Copier. qu'il s'agisse de la même forêt ou d'une autre. cliquez avec le bouton droit sur cet objet. Module 5 : Implémentation d'une stratégie de groupe 35 Comment copier un objet Stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Pour copier un objet Stratégie de groupe. Effectuez l'une des opérations suivantes : • Pour placer la copie de l'objet Stratégie de groupe dans le même domaine que l'objet source. procédez comme suit : 1. cliquez avec le bouton droit sur Objets de stratégie de groupe. ii. . cliquez sur Suivant. 2. puis cliquez sur Suivant. ii. développez Objets de stratégie de groupe dans la forêt et le domaine contenant l'objet Stratégie de groupe à copier. Lorsque le processus de copie est terminé. puis cliquez sur Coller. i. puis cliquez sur OK. puis cliquez sur Coller. sélectionnez Utiliser les autorisations par défaut pour les nouveaux objets GPO ou Conserver les autorisations existantes. sélectionnez Utiliser les autorisations par défaut pour les nouveaux objets GPO ou Préserver ou effectuer la migration des autorisations à partir des objets GPO originaux. Dans la boîte de dialogue Copier l'objet GPO. Dans la page Spécification des autorisations en cours. Procédure Pour copier un objet Stratégie de groupe. Ouvrez la console Gestion de stratégie de groupe.

sélectionnez la table de migration dans la liste. cliquez sur OK. Si l'objet Stratégie de groupe source contient des références aux entités de sécurité et aux chemins UNC.36 Module 5 : Implémentation d'une stratégie de groupe iii. Une fois l'opération de copie terminée. cliquez sur Suivant. sélectionnez Effectuant une copie identique à partir de la source ou Utilisant cette table de migration pour le mappage dans l'objet de stratégie de groupe cible. Dans la page Migration des références. puis cliquez sur Suivant. vi. iv. Sinon. vous verrez s'afficher la fenêtre mentionnée à l'étape suivante. Remarque Certaines de ces étapes peuvent ne pas s'afficher si vous copiez un objet Stratégie de groupe dans le même domaine. Dans la page Analyse en cours de l'objet GPO original. passez à l'étape v. Dans la page Fin de l'Assistant Copie entre domaines. v. . cliquez sur Terminer.

ou bien spécifier un nouvel emplacement. . vous pouvez identifier chaque objet Stratégie de groupe à l'aide de l'un des critères suivants : ! Nom complet de l'objet Stratégie de groupe ! Identificateur GUID de l'objet Stratégie de groupe ! Description de la sauvegarde ! Date et horodatage de la sauvegarde ! Nom de domaine Vous pouvez sauvegarder un ou plusieurs objets Stratégie de groupe dans un emplacement de sauvegarde qui a été précédemment spécifié. y une sauvegarde compris plusieurs versions du même objet. Module 5 : Implémentation d'une stratégie de groupe 37 Définition d'une opération de sauvegarde ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Lorsque la console Gestion de stratégie de groupe sauvegarde un objet Stratégie de groupe. Vous pouvez placer l'objet Stratégie de groupe sauvegardé dans un dossier par une opération de restauration ou d'importation. Quel que soit le nombre d'objets Stratégie de groupe stockés dans un dossier. L'opération d'importation vous permet uniquement de restaurer un objet Stratégie de groupe sauvegardé dans un autre domaine. Remarque Assurez-vous que le répertoire de sauvegarde se trouve à un emplacement sécurisé du système de fichiers. dans un dossier de fichiers unique. elle exporte les données dans le fichier de votre choix et enregistre tous les fichiers de modèle Stratégie de groupe. Comment stocker Vous pouvez stocker plusieurs objets Stratégie de groupe sauvegardés.

4. développez successivement Domaines. procédez comme suit : 1. Entrez une description pour l'objet Stratégie de groupe à sauvegarder. Une fois l'opération de sauvegarde terminée. le domaine contenant l'objet Stratégie de groupe. puis effectuez l'une des opérations suivantes : • Pour sauvegarder un seul objet Stratégie de groupe. Procédure Pour sauvegarder un objet Stratégie de groupe. Ouvrez la console Gestion de stratégie de groupe. 2. . 3. cliquez avec le bouton droit sur cet objet. puis cliquez sur Sauvegarder. Dans la boîte de dialogue Sauvegarde de l'objet GPO. puis cliquez sur Sauvegarder tout. vous devez disposer des autorisations en lecture sur l'objet Stratégie de groupe et des autorisations Écrire sur l'emplacement du système de fichiers où vous souhaitez stocker l'objet Stratégie de groupe sauvegardé. cliquez avec le bouton droit sur Objets de stratégie de groupe. puis cliquez sur Sauvegarder. cliquez sur OK. • Pour sauvegarder tous les objets Stratégie de groupe. Objets de stratégie de groupe. développez la forêt contenant l'objet Stratégie de groupe à sauvegarder.38 Module 5 : Implémentation d'une stratégie de groupe Comment sauvegarder un objet Stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Pour sauvegarder un objet Stratégie de groupe. entrez le chemin d'accès à l'emplacement où vous souhaitez stocker l'objet Stratégie de groupe sauvegardé.

Les autorisations requises pour restaurer un restaurés ? objet Stratégie de groupe varient selon que l'objet existe ou non dans Active Directory lorsque vous le restaurez. Quels objets Stratégie Vous pouvez restaurer un objet Stratégie de groupe existant ou un objet de groupe peuvent être supprimé qui a été sauvegardé. Cette opération est valide uniquement dans le domaine où l'objet Stratégie de groupe a été créé. Module 5 : Implémentation d'une stratégie de groupe 39 Définition d'une opération de restauration ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction L'opération de restauration rétablit le contenu de l'objet Stratégie de groupe dans l'état dans lequel il était au moment de la sauvegarde. .

. puis cliquez sur Restaurer. sélectionnez un autre objet Stratégie de groupe à restaurer ou cliquez sur Fermer pour terminer l'opération de restauration. 2. Ouvrez la console Gestion de stratégie de groupe. sélectionnez l'objet Stratégie de groupe sauvegardé à restaurer. le domaine contenant l'objet Stratégie de groupe. 5. vous devez disposer d'autorisations pour créer des objets Stratégie de groupe dans le domaine. cliquez avec le bouton droit sur Objets de stratégie de groupe puis cliquez sur Gérer les sauvegardes. Procédure de Pour restaurer une version antérieure d'un objet Stratégie de groupe existant. 3. Dans la boîte de dialogue Gestion des sauvegardes. vous devez disposer des autorisations Modifier les paramètres. cliquez sur OK. Dans la boîte de dialogue Restaurer. 4. Objets de stratégie de groupe. Vous devez également disposer de l'autorisation en lecture sur le dossier qui contient l'objet Stratégie de groupe sauvegardé. ainsi que de l'autorisation en lecture sur l'emplacement du système de fichiers de l'objet sauvegardé. Lorsque vous êtes invité à restaurer la sauvegarde sélectionnée. restauration d'une procédez comme suit : version antérieure d'un objet Stratégie 1. modifier la sécurité sur cet objet. Dans la boîte de dialogue Gestion des sauvegardes. développez la forêt de groupe contenant l'objet Stratégie de groupe à restaurer. développez successivement Domaines.40 Module 5 : Implémentation d'une stratégie de groupe Comment restaurer un objet Stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Pour restaurer un objet Stratégie de groupe existant à l'aide de la console Gestion de stratégie de groupe. supprimer. cliquez sur OK une fois la restauration terminée. Pour restaurer un objet Stratégie de groupe supprimé qui avait été sauvegardé.

. cliquez sur Restaurer. effectuez l'une des opérations suivantes : Stratégie de groupe supprimé 1. 2. puis cliquez sur Gérer les sauvegardes. Ouvrez la console Gestion de stratégie de groupe. puis le domaine contenant l'objet Stratégie de groupe. sélectionnez l'objet. développez successivement la forêt contenant l'objet Stratégie de groupe à restaurer. 3. cliquez sur Parcourir. Module 5 : Implémentation d'une stratégie de groupe 41 Procédure de Pour restaurer un objet Stratégie de groupe supprimé qui figure dans la liste restauration d'un objet des Objets Stratégie de groupe. Dans la boîte de dialogue Gestion des sauvegardes. recherchez le système de fichiers contenant l'objet Stratégie de groupe supprimé. Domaines. puis cliquez sur OK pour confirmer l'opération de restauration. Cliquez avec le bouton droit sur Objets de stratégie de groupe.

toutes les entités de sécurité sont mappées en fonction du comportement que vous spécifiez. Si vous spécifiez une table de migration. Indiquez le chemin d'accès à la table de migration appropriée lorsque vous importez des paramètres de stratégie de groupe d'un domaine dans un autre. vous devez spécifier le comportement de mappage du chemin UNC. Si vous ne spécifiez pas de table de migration.42 Module 5 : Implémentation d'une stratégie de groupe Définition d'une opération d'importation ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Une opération d'importation copie l'ensemble des paramètres de stratégie de groupe depuis l'objet Stratégie de groupe source vers l'objet Stratégie de groupe de destination. Si vous n'activez pas la case à cocher Utiliser exclusivement la table de migration. vous devez spécifier le comportement de mappage pour les entités de sécurité qui ne figurent pas dans la table de migration. Pourquoi spécifier une Spécifiez une table de migration afin d'être certain que le chemin UNC de table de migration ? l'objet Stratégie de groupe est correctement mappé sur le chemin UNC de l'objet Stratégie de groupe de destination. .

3. puis cliquez sur Suivant. vous devez disposer des autorisations de modification de cet objet. procédez comme suit : 1. Dans la page Emplacement de sauvegarde. cliquez sur OK puis sur Suivant. 2. Une fois l'opération de sauvegarde terminée. Domaines. entrez un emplacement et une description pour la sauvegarde de l'objet Stratégie de groupe. Dans la page Assistant Importation des paramètres. puis cliquez sur Importer des paramètres. Objets de stratégie de groupe. cliquez sur Sauvegarder. 6. Module 5 : Implémentation d'une stratégie de groupe 43 Comment importer des paramètres dans un objet Stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Pour importer des paramètres dans un objet Stratégie de groupe. Dans la page Objet de stratégie de groupe de sauvegarde. Dans la boîte de dialogue Sauvegarde de l'objet GPO. développez successivement la forêt contenant l'objet Stratégie de groupe dans lequel importer des paramètres. cliquez avec le bouton droit sur l'objet Stratégie de groupe. cliquez sur Suivant. le domaine contenant l'objet Stratégie de groupe. 5. Procédure Pour importer des paramètres dans un objet Stratégie de groupe. cliquez sur Parcourir pour rechercher le dossier de sauvegarde à partir duquel vous voulez importer des paramètres. . Ouvrez la console Gestion de stratégie de groupe. 4. puis cliquez sur Sauvegarder.

Dans la page Fin de l'Assistant Importation des paramètres. sélectionnez l'objet Stratégie de groupe à partir duquel vous voulez importer des paramètres. puis cliquez sur Suivant. 10. 9. Choisissez le mode de migration des entités de sécurité et des chemins UNC en sélectionnant Effectuant une copie identique à partir de la source ou Utilisant cette table de migration pour le mappage dans l'objet de stratégie de groupe cible.44 Module 5 : Implémentation d'une stratégie de groupe 7. 8. Une fois l'opération d'importation terminée. cliquez sur OK. puis sélectionnez une table de migration. Dans la page Objet stratégie de groupe (GPO) source. Si l'objet Stratégie de groupe source contient des références aux entités de sécurité et des chemins UNC. cliquez sur Terminer. la boîte de dialogue Migration des références s'affiche. Cliquez sur Suivant. .

puis en modifier les paramètres. Scénario Vous êtes responsable de l'implémentation des normes de Bureau de l'entreprise à l'aide de la stratégie de groupe de votre domaine. cliquez sur OK. cliquez avec le bouton droit sur Objets de stratégie de groupe. cliquez sur OK. Une fois le processus de copie terminé. Vous allez créer un objet Stratégie de groupe de base. Ouvrez la console Gestion de stratégie de groupe en tant que Votre_Domaine\Administrateur à l'aide de la commande Exécuter en tant que. Application pratique : Copie d'un objet ! Copier un objet Stratégie de groupe Stratégie de groupe 1. développez Objets de stratégie de groupe. le copier dans les différentes applications. 3. Bien que la plupart des groupes du domaine puissent utiliser la même configuration de Bureau d'entreprise. cliquez avec le bouton droit sur GPO_pratique. 4. vous souhaitez tester les fonctionnalités de restauration et simuler le plan d'implémentation dans votre environnement de test. certains services nécessitent une configuration légèrement différente. créer une sauvegarde de cet objet. cliquez sur Copier. Dans la boîte de dialogue Copier l'objet GPO. puis la restaurer. 2. . supprimer la copie sauvegardée. Module 5 : Implémentation d'une stratégie de groupe 45 Application pratique : Gestion des objets Stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Objectifs Dans cette application pratique. puis cliquez sur Coller. Dans votre domaine. Parce que vous voulez être certain que la sauvegarde et la restauration des objets Stratégie de groupe fonctionnent correctement. vous allez copier un objet Stratégie de groupe.

Dans la boîte de dialogue Gestion des sauvegardes. Lorsque vous êtes invité à restaurer la sauvegarde. Dans la boîte de dialogue Sauvegarde de l'objet GPO. 3. 3. Application pratique : Restauration d'un objet ! Supprimer et restaurer un objet Stratégie de groupe Stratégie de groupe 1. Dans la console Gestion de stratégie de groupe. cliquez sur Supprimer. Dans la boîte de dialogue Restaurer. 5. . Cliquez avec le bouton droit sur Objets de stratégie de groupe. 2. 8. 6. cliquez sur OK. Fermez la console Gestion de stratégie de groupe.46 Module 5 : Implémentation d'une stratégie de groupe Application pratique : ! Sauvegarder un objet Stratégie de groupe Sauvegarde d'un objet Stratégie de groupe 1. Une fois l'opération terminée. 2. cliquez sur OK une fois la sauvegarde restaurée. Dans la boîte de dialogue Gestion des sauvegardes. 7. 4. puis sur OK. puis cliquez sur Sauvegarder. puis cliquez sur Sauvegarder. cliquez avec le bouton droit sur Copie de GPO_pratique. sélectionnez Copie de GPO_pratique. cliquez sur OK. Vérifiez que l'objet Stratégie de groupe a bien été restauré. tapez C:\ dans la zone Emplacement. puis cliquez sur Gérer les sauvegardes. Dans la console Gestion de stratégie de groupe. cliquez sur Fermer. puis cliquez sur Restaurer. cliquez avec le bouton droit sur Copie de GPO_pratique.

vous serez à même d'effectuer les tâches suivantes : ! identifier les problèmes courants liés à l'implémentation de la stratégie de groupe . Module 5 : Implémentation d'une stratégie de groupe 47 Leçon : Vérification et résolution des problèmes liés à la stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Il est possible que vous rencontriez des problèmes lors de l'implémentation de la stratégie de groupe. Lorsque vous résolvez des problèmes liés à la stratégie de groupe. veillez à prendre en compte les dépendances entre les composants. Par exemple. la stratégie de groupe dépend de Active Directory. Il s'agit de l'Assistant Modélisation de stratégie de groupe et des Résultats de stratégie de groupe. . Objectifs de la leçon À la fin de cette leçon. Windows Server 2003 est doté de deux nouvelles fonctionnalités de gestion des stratégies de groupe qui vous permettent de déterminer les effets des paramètres de stratégie de groupe d'un utilisateur ou d'un ordinateur particulier. ! vérifier les paramètres de stratégie de groupe à l'aide des Résultats de stratégie de groupe. lequel se fie à une configuration correcte des services du réseau. ! vérifier les paramètres de stratégie de groupe à l'aide de l'Assistant Modélisation de stratégie de groupe .

Blocage de l'héritage. Utilisez l'Assistant Modélisation de stratégie de groupe ou l'Assistant Résultats de stratégie de groupe pour déterminer l'objet Stratégie de groupe utilisé pour le paramètre. . Symptômes. Lorsque vous essayez de modifier un objet Stratégie de Assurez-vous que le système DNS fonctionne groupe. alors qu'un objet Stratégie de groupe est lié à une unité d'organisation contenant le groupe de sécurité. ainsi que les et résolution méthodes de résolution possibles. L'objet Stratégie de groupe est prioritaire appliqués en raison du filtrage. des sites. Appliqué ou de l'ordre d'application. cause Le tableau suivant répertorie certains des symptômes courants. Comment vérifier si les Dans la plupart des cas. le message signalant qu'il est impossible d'ouvrir correctement. l'objet Stratégie de groupe s'affiche. un paramètre de stratégie de groupe n'est pas appliqué paramètres de stratégie comme prévu parce qu'un autre objet Stratégie de groupe contient une valeur de groupe corrects sont conflictuelle pour le même paramètre. La stratégie de groupe n'est pas appliquée aux utilisateurs Liez les objets Stratégie de groupe uniquement à et ordinateurs d'un groupe de sécurité qui les contient. Symptôme Résolution Vous ne parvenez pas à ouvrir un objet Stratégie de Devenez membre d'un groupe de sécurité avec groupe. les autorisations Lire et Écrire pour l'objet. domaines et unités d'organisation. même avec l'autorisation en lecture.48 Module 5 : Implémentation d'une stratégie de groupe Problèmes courants liés à l'implémentation de la stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction La première étape de la résolution des problèmes liés à la stratégie de groupe consiste à identifier les symptômes et les causes possibles.

appliqués via Active Directory et si ces objets possèdent des paramètres en conflit avec les paramètres locaux. La stratégie de groupe n'est pas appliquée sur Déterminez quels objets Stratégie de groupe sont l'ordinateur client. Ces paramètres sont alors appliqués par défaut aux utilisateurs et ordinateurs du conteneur via l'héritage. Module 5 : Implémentation d'une stratégie de groupe 49 (suite) Symptôme Résolution La stratégie de groupe n'affecte pas les utilisateurs et Liez un objet Stratégie de groupe à une unité ordinateurs d'un conteneur Active Directory. d'organisation qui est parente du conteneur Active Directory. .

2. Elle requiert un contrôleur de domaine exécutant Windows Server 2003 dans la forêt.50 Module 5 : Implémentation d'une stratégie de groupe Comment vérifier les paramètres de stratégie de groupe à l'aide de l'Assistant Modélisation de stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Vous avez la possibilité de simuler un déploiement de stratégie pour les utilisateurs et les ordinateurs avant de réellement appliquer les stratégies. Pour vérifier les paramètres de stratégie de groupe à l'aide de l'Assistant Modélisation de stratégie de groupe. Sur la page Assistant Modélisation de stratégie de groupe. d'une requête de procédez comme suit : modélisation de stratégie de groupe 1. entrez les informations requises dans les pages de l'Assistant. puis sur Assistant Modélisation de stratégie de groupe. naviguez jusqu'à la forêt dans laquelle vous souhaitez créer une requête de modélisation de stratégie de groupe. vous devez d'abord créer une requête de modélisation de stratégie de groupe et afficher cette requête. puis cliquez sur Terminer. Ouvrez la console Gestion de stratégie de groupe. Procédure de création Pour créer une nouvelle requête de modélisation de stratégie de groupe. . cliquez sur Suivant. Resultant Set of Policies) – Mode de planification. Cette fonctionnalité de la console Gestion de stratégie de groupe est appelée Jeu de stratégies résultant (RSoP. cliquez avec le bouton droit de la souris sur Modélisation de stratégie de groupe.

2. cliquez avec le bouton droit sur la requête. Naviguez jusqu'à la forêt contenant la requête de modélisation de stratégie de groupe à afficher. développez Modélisation de stratégie de groupe. reportez-vous à la section « Comment vérifier les paramètres de stratégie de groupe à l'aide des Résultats de stratégie de groupe » de la page d'annexe du module 5 sur le CD-ROM du stagiaire. puis cliquez sur Affichage avancé.exe. Ouvrez la console Gestion de stratégie de groupe. procédez de la requête de comme suit : modélisation de stratégie de groupe 1. Module 5 : Implémentation d'une stratégie de groupe 51 Procédure d'affichage Pour afficher la requête de modélisation de stratégie de groupe. . Remarque Pour plus d'informations sur la vérification des paramètres de stratégie de groupe à l'aide de Gpresult.

cliquez avec le bouton droit sur Résultats de stratégie de groupe. Bien que ces données soient similaires à celles de la modélisation de stratégie de groupe. 3. 6. sélectionnez l'ordinateur actuel ou cliquez sur Parcourir pour sélectionner un autre ordinateur. . Dans la page Sélection des ordinateurs. Dans la page Sélection de l'utilisateur. puis cliquez sur Suivant. vérifiez les sélections effectuées. Dans la console Gestion de stratégie de groupe. Dans la page Fin de l'Assistant Résultats de stratégie de groupe. 5. Dans la page Aperçu des sélections. puis cliquez sur Suivant. Dans la page Assistant Résultats de stratégie de groupe. Procédure de création Pour créer une requête Résultats de stratégie de groupe. 2. Pour obtenir des données à l'aide des Résultats de stratégie de groupe. elles sont obtenues à partir de l'ordinateur client au lieu d'être simulées sur le contrôleur de domaine. puis cliquez sur Assistant Résultats de stratégie de groupe. sélectionnez l'utilisateur actuel ou spécifiez un utilisateur. cliquez sur Suivant. l'ordinateur client doit exécuter Windows XP ou Windows Server 2003. accédez à Résultats de stratégie de groupe. 4. ainsi que l'utilisateur qui a ouvert une session sur cet ordinateur. puis cliquez sur Suivant. cliquez sur Terminer. procédez comme suit : d'une requête Résultats de stratégie de groupe 1.52 Module 5 : Implémentation d'une stratégie de groupe Comment vérifier les paramètres de stratégie de groupe à l'aide des Résultats de stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Utilisez les Résultats de stratégie de groupe pour déterminer les paramètres de stratégie qui sont appliqués à un ordinateur.

puis cliquez sur Affichage avancé. . Pour plus d'informations sur l'enregistrement de stratégie de groupe. reportez-vous à la section « Comment vérifier les paramètres de stratégie de groupe à l'aide des Résultats de stratégie de groupe » de la page d'annexe du module 5 sur le CD-ROM du stagiaire. Remarque Vous pouvez contrôler la stratégie de groupe en activant l'enregistrement des diagnostics et l'enregistrement des commentaires. Ouvrez la console Gestion de stratégie de groupe. 2. Module 5 : Implémentation d'une stratégie de groupe 53 Procédure d'affichage Pour afficher la requête des Résultats de stratégie de groupe. Naviguez jusqu'à la forêt contenant la requête de modélisation de stratégie de groupe à afficher. procédez de la requête des comme suit : Résultats de stratégie de groupe 1. développez Résultats de stratégie de groupe. cliquez avec le bouton droit sur la requête.

4. 3. cliquez sur Parcourir. Application pratique ! Vérifier les paramètres utilisateur et ordinateur pour votre domaine 1.54 Module 5 : Implémentation d'une stratégie de groupe Application pratique : Vérification et résolution des problèmes liés à la stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Objectifs Dans cette application pratique. puis cliquez sur Suivant. Scénario Vous souhaitez vérifier que les paramètres de stratégie de groupe que vous prévoyez de déployer chez Northwind Traders (y compris les paramètres utilisateur et ordinateur de votre domaine) seront appliqués et fiables. Ouvrez la console Gestion de stratégie de groupe en tant que Votre_Domaine\Administrateur à l'aide de la commande Exécuter en tant que. vous allez vérifier les paramètres de stratégie de groupe à l'aide de l'Assistant Modélisation de stratégie de groupe. 6. 2. cliquez sur Terminer. 5. sélectionnez votre domaine pour chaque section. Dans la page Sélection du contrôleur de domaine. Vous décidez d'utiliser la console Gestion de stratégie de groupe pour vérifier les paramètres. cliquez sur Suivant. Dans la page Sélection d'ordinateurs et d'utilisateurs. cliquez sur Suivant. Dans chacune des pages suivantes de l'Assistant. dans les sections Informations sur l'utilisateur et Informations sur l'ordinateur. 7. puis cliquez sur Assistant Modélisation de stratégie de groupe. Cliquez avec le bouton droit sur Modélisation de stratégie de groupe. cliquez sur Suivant pour accepter les valeurs par défaut. Dans la page Fin de l'Assistant Modélisation de stratégie de groupe. Dans la page Assistant Modélisation de stratégie de groupe. .

dans la boîte de dialogue Sites approuvés. Module 5 : Implémentation d'une stratégie de groupe 55 8. . cliquez sur Ajouter. 9. cliquez sur Ajouter. Si une boîte de dialogue Internet Explorer s'affiche. Affichez le rapport dans le volet de détails. puis cliquez sur Fermer. puis fermez la console Gestion de stratégie de groupe.

! déléguer le contrôle administratif pour la gestion des liaisons de stratégie de groupe . la création. un domaine ou une unité d'organisation. ! expliquer le fonctionnement de la délégation de la stratégie de groupe pour un site. . vous serez à même d'effectuer les tâches suivantes : ! expliquer le fonctionnement de la délégation des objets Stratégie de groupe . Utilisez la console Gestion de stratégie de groupe pour déléguer le contrôle administratif des objets Stratégie de groupe. les filtres WMI. ! expliquer le fonctionnement de la délégation des filtres WMI .56 Module 5 : Implémentation d'une stratégie de groupe Leçon : Délégation du contrôle administratif de la stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Vous pouvez utiliser la stratégie de groupe pour déléguer certaines tâches à d'autres administrateurs. La console Gestion de stratégie de groupe simplifie la gestion des autorisations en combinant les autorisations de bas niveau sur un objet et en les gérant comme une seule unité. Objectifs de la leçon À la fin de cette leçon. la liaison et la modification des objets Stratégie de groupe correspondent à des autorisations distinctes que vous pouvez déléguer séparément. ! déléguer le contrôle administratif pour la création et la modification des objets Stratégie de groupe. Par exemple. la stratégie de groupe pour un site. un domaine ou une unité d'organisation .

disponible avant la console Gestion de stratégie de groupe. Si des utilisateurs externes au domaine ont besoin de pouvoir créer des objets Stratégie de groupe. 3. Vous pouvez cependant Stratégie de groupe déléguer ce pouvoir à tout groupe ou utilisateur de deux façons différentes : ! Ajouter le groupe ou l'utilisateur au groupe Propriétaires créateurs de la stratégie de groupe. Déléguer la capacité Par défaut. utilisez le groupe le groupe Propriétaires Propriétaires créateurs de la stratégie de groupe pour affecter des autorisations créateurs de la stratégie de création d'un objet Stratégie de groupe. Module 5 : Implémentation d'une stratégie de groupe 57 Délégation des objets Stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Vous pouvez déléguer la capacité de créer des objets Stratégie de groupe dans un domaine et d'affecter des autorisations sur un objet Stratégie de groupe individuel à l'aide de la console Gestion de stratégie de groupe. la capacité de créer des objets Stratégie de groupe est attribuée au de créer des objets groupe Propriétaires créateurs de la stratégie de groupe. . procédez comme suit : 1. ! Attribuer explicitement au groupe ou à l'utilisateur l'autorisation de créer des objets Stratégie de groupe. Ajoutez à ce groupe des utilisateurs de domaine externes. Il s'agit de la première méthode. il ne peut pas contenir de membres extérieurs au domaine. Affectez à ce groupe l'autorisation de créer des objets Stratégie de groupe dans le domaine. Créez un nouveau groupe local du domaine dans le domaine. Cette méthode est disponible uniquement via la console Gestion de stratégie de groupe. 2. À quel moment utiliser Dans le cas d'utilisateurs et de groupes du domaine. Ce groupe étant un groupe global du de groupe domaine.

reportez-vous à la rubrique « Délégation des objets Stratégie de groupe » de la page d'annexe du module 5sur le CD-ROM du stagiaire.58 Module 5 : Implémentation d'une stratégie de groupe Comparaison des deux Les autorisations sont identiques. mais ils n'ont pas d'autorisation sur les objets Stratégie de groupe créés par d'autres utilisateurs. groupe individuel ! Lecture ! Modifier les paramètres ! Modifier les paramètres. Accorder à un utilisateur la possibilité de créer des objets Stratégie de groupe dans le domaine ne signifie pas qu'il peut lier ces objets à un site. Déléguer des Vous pouvez également gérer les autorisations sur l'objet Stratégie de groupe au autorisations sur un niveau des tâches. Les cinq catégories suivantes sont des autorisations Autoriser objet Stratégie de sur un objet Stratégie de groupe. que vous ajoutiez un utilisateur au groupe méthodes de délégation Propriétaires créateurs de la stratégie de groupe ou que vous affectiez les autorisations utilisateur pour la création d'objets Stratégie de groupe directement à l'aide de la console Gestion de stratégie de groupe. modifier la sécurité ! Lire (à partir du filtrage de sécurité) ! Paramètres personnalisés Remarque Pour plus d'informations sur la délégation du contrôle administratif de la stratégie de groupe. un domaine ou une unité d'organisation. supprimer. . Les utilisateurs peuvent créer des objets Stratégie de groupe dans le domaine et disposer d'un contrôle total sur ces objets.

Déléguer la capacité de La console Gestion de stratégie de groupe utilise une autorisation unique. L'autorisation équivaut à des autorisations Lire et Écrire sur les attributs gPLink et gPOptions du site. un domaine ou une unité d'organisation inclut la délégation de la capacité à lier des objets Stratégie de groupe et la délégation des autorisations pour la Modélisation de stratégie de groupe et les Résultats de stratégie de groupe. L'autorisation Lier les objets GPO est spécifique à ce site. L'administrateur peut sélectionner Lancer des analyses de modélisation de stratégie de groupe. ou bien vous pouvez la déléguer à d'autres utilisateurs ou stratégie de groupe groupes. laquelle est disponible dans toute forêt dotée du schéma Windows Server 2003. S'applique à. Déléguer des Vous pouvez utiliser la Modélisation de stratégie de groupe pour simuler autorisations pour un ensemble de stratégies pour des objets d'un domaine ou d'une unité la Modélisation de d'organisation. . un domaine ou une unité d'organisation ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction La délégation de la stratégie de groupe pour un site. pour gérer les attributs gPLink et gPOptions. lier des objets Stratégie appelée Lier les objets GPO. La console Gestion de stratégie de groupe simplifie la gestion de cette autorisation en la faisant figurer sous l'onglet Délégation de tout domaine ou unité d'organisation. un domaine ou une unité d'organisation qui contient les objets utilisateur ou ordinateur. puis sélectionner les propriétés Nom. ce domaine ou à une unité d'organisation. Paramètre et Hérité pour les délégations. du domaine ou de l'unité d'organisation. Vous de groupe appliquez les paramètres d'un objet Stratégie de groupe à des utilisateurs et des ordinateurs en liant l'objet Stratégie de groupe (qu'il s'agisse d'un enfant direct ou indirectement par héritage) à un site. Cette délégation affecte à l'utilisateur ou au groupe l'autorisation Générer Jeu de stratégie résultant (Planification). Module 5 : Implémentation d'une stratégie de groupe 59 Délégation de la stratégie de groupe pour un site.

vous pouvez déléguer de groupe cette autorisation à d'autres utilisateurs ou groupes.60 Module 5 : Implémentation d'une stratégie de groupe Déléguer des Vous pouvez utiliser les Résultats de stratégie de groupe pour lire les données autorisations pour les d'enregistrement RSoP pour des objets du domaine ou de l'unité d'organisation. laquelle est disponible dans toute forêt dotée du schéma Windows Server 2003. La console Gestion de stratégie de groupe simplifie la gestion de cette autorisation en la faisant figurer sous l'onglet Délégation du domaine ou de l'unité d'organisation. L'administrateur peut sélectionner Lire les données du résultat de la stratégie. Les utilisateurs disposant de cette autorisation peuvent lire les données des Résultats de stratégie de groupe pour tout objet de ce conteneur. . Cette délégation affecte également à l'utilisateur ou au groupe l'autorisation Générer Jeu de stratégie résultant (Enregistrement). puis sélectionner les utilisateurs et groupes auxquels accorder cette autorisation. Les autorisations sont déléguées sur un domaine ou une unité d'organisation. Résultats de stratégie Comme dans le cas de la Gestion de stratégie de groupe.

. Les autorisations sur le conteneur WMIPolicy déterminent les autorisations d'un utilisateur pour créer. Lorsque vous créez un nouveau filtre WMI. ! Contrôle total : permet à l'utilisateur de créer des filtres WMI et d'affecter un contrôle total sur tous les filtres WMI du domaine. modifier et supprimer des filtres WMI. Active Directory stocke celui-ci dans le conteneur WMIPolicy du conteneur System du domaine. Vous pouvez affecter deux un filtre WMI autorisations différentes à un utilisateur ou un groupe : ! Modifier : autorise l'utilisateur ou le groupe à modifier le filtre WMI. Déléguer des Vous pouvez utiliser la console Gestion de stratégie de groupe pour déléguer autorisations sur des autorisations sur un filtre WMI particulier. ! Contrôle total : autorise l'utilisateur ou le groupe à modifier. N'affecte pas à l'utilisateur des autorisations sur les filtres WMI créés par d'autres utilisateurs. y compris les nouveaux filtres créés par l'utilisateur après que l'autorisation a été accordée. Module 5 : Implémentation d'une stratégie de groupe 61 Délégation de filtres WMI ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Vous pouvez déléguer la capacité de créer des filtres WMI dans un domaine et affecter des autorisations sur ces filtres. Déléguer la capacité de Vous créez des filtres WMI dans le conteneur Filtres WMI de la console créer des filtres WMI Gestion de stratégie de groupe. supprimer et modifier la sécurité sur le filtre WMI. Il existe deux autorisations de création de filtres WMI : ! Propriétaire créateur : permet à l'utilisateur de créer de nouveaux filtres WMI dans le domaine.

Procédure Pour déléguer le contrôle administratif de la gestion des liaisons de stratégie de groupe. cliquez sur Vérifier les noms. procédez comme suit : 1. Dans le volet de détails. afin de permettre à un utilisateur de lier ou de désactiver des liaisons d'objets Stratégie de groupe. 5. Naviguez jusqu'à la forêt et au domaine où vous voulez déléguer le contrôle administratif de la gestion des liaisons de stratégie de groupe. Ordinateur ou Groupe. puis cliquez sur OK. dans la zone Autorisations. 3. Ouvrez la console Gestion de stratégie de groupe. celle-ci est toujours disponible dans la console Gestion de stratégie de groupe : cliquez sur Avancées sous l'onglet Délégation. dans la zone Entrez le nom de l'objet à sélectionner (exemples).62 Module 5 : Implémentation d'une stratégie de groupe Comment déléguer le contrôle administratif de la gestion des liaisons de stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Vous pouvez déléguer la capacité de gérer les liaisons de stratégie de groupe en sélectionnant Gérer les liaisons de stratégie de groupe dans l'Assistant Délégation de contrôle. Remarque Si vous préférez la flexibilité de la boîte de dialogue Propriétés. 2. indiquez l'entité de sécurité. puis cliquez sur la liaison. . sélectionnez l'autorisation appropriée. sous l'onglet Délégation. Dans la boîte de dialogue Sélectionnez Utilisateur. Dans la boîte de dialogue Ajouter un utilisateur ou un groupe. puis sur OK. 4. cliquez sur Ajouter.

Dans la boîte de dialogue Ajouter un utilisateur ou un groupe. Naviguez jusqu'à la forêt et au domaine dans lequel vous voulez déléguer le contrôle administratif pour la création d'objets Stratégie de groupe. puis sur OK. sous l'onglet Délégation. 5. Ordinateur ou Groupe. Procédure de délégation Pour déléguer le contrôle administratif pour la création d'objets Stratégie de du contrôle administratif groupe. 3. cliquez sur Ajouter. puis cliquez sur OK. puis cliquez sur la liaison. 3. Naviguez jusqu'à la forêt et au domaine dans lequel vous voulez déléguer le contrôle administratif pour la modification d'objets Stratégie de groupe. sous l'onglet Délégation. puis sur OK. procédez comme suit : pour la création d'objets Stratégie de groupe 1. sélectionnez l'autorisation appropriée. puis cliquez su Objets de stratégie de groupe. Dans la boîte de dialogue Sélectionnez Utilisateur. Procédure de délégation Pour déléguer le contrôle administratif pour la modification d'objets Stratégie du contrôle administratif de groupe. dans la zone Entrez le nom de l'objet à sélectionner (exemples). procédez comme suit : pour la modification d'objets Stratégie de 1. Ouvrez la console Gestion de stratégie de groupe. groupe 2. 4. dans la zone Entrez le nom de l'objet à sélectionner (exemples). . cliquez sur Vérifier les noms. indiquez l'entité de sécurité. Ouvrez la console Gestion de stratégie de groupe. cliquez sur Vérifier les noms. Dans la boîte de dialogue Sélectionnez Utilisateur. cliquez sur Ajouter. Dans le volet de détails. 2. indiquez l'entité de sécurité. 4. Ordinateur ou Groupe. dans la zone Autorisations. Module 5 : Implémentation d'une stratégie de groupe 63 Comment déléguer le contrôle administratif pour la création et la modification d'objets Stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Utilisez l'Assistant Délégation de contrôle pour déléguer le contrôle administratif pour la création et la modification d'objets Stratégie de groupe. Dans le volet de détails.

cliquez sur la liaison GPO_pratique. Ouvrez la console Gestion de stratégie de groupe en tant que Votre_Domaine\Administrateur à l'aide de la commande Exécuter en tant que. Sous l'onglet Délégation. Application pratique ! Déléguer à un utilisateur le contrôle administratif de la stratégie de groupe 1. puis lui déléguer la capacité de gérer les liaisons de stratégie de groupe. Développez successivement Forêt.64 Module 5 : Implémentation d'une stratégie de groupe Application pratique : Délégation du contrôle administratif de la stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Objectifs Dans cette application pratique. Accounts Payable (créances) et Accounts Receivable (dettes). Cette personne sera responsable de la création et de la suppression de liaisons d'objets Stratégie de groupe. dans la zone Entrez le nom de l'objet à sélectionner. 4. puis sur OK. entrez Nwtradersx\Nom_OrdinateurUser. ajoutez Nwtradersx\Nom_OrdinateurUser à la liste avec les autorisations Modifier les paramètres. Ordinateur ou Groupe. Dans la boîte de dialogue Sélectionnez Utilisateur. sous l'onglet Délégation. de la création de nouveaux objets Stratégie de groupe et de la modification des objets Stratégie de groupe existants. puis dans le volet de détails. cliquez sur Vérifier les noms. Dans le volet de détails. Votre_Domaine. Objets de stratégie de groupe. Dans la console Gestion de stratégie de groupe. puis cliquez sur OK. 3. 5. Elle gérera également les autres objets des unités d'organisation. puis cliquez sur GPO_pratique. 2. cliquez sur Votre_Domaine. 6. cliquez sur Ajouter. vous allez ajouter le compte de l'administrateur adjoint au groupe Propriétaires créateurs de la stratégie de groupe. Domaines. supprimer modifier la sécurité. Scénario Vous avez décidé de déléguer à un administrateur adjoint l'administration de la stratégie de groupe pour les unités d'organisation Accounting. .

dans la zone Autorisations. sélectionnez l'autorisation appropriée. 8. puis cliquez sur OK. . Dans la boîte de dialogue Ajouter un utilisateur ou un groupe. Fermez la console Gestion de stratégie de groupe. Module 5 : Implémentation d'une stratégie de groupe 65 7.

! expliquer les instructions de détermination de l'héritage des objets Stratégie de groupe . Objectifs de la leçon À la fin de cette leçon. créez un plan pour l'héritage des objets Stratégie de groupe. veillez à prendre en considération la délégation d'autorisation. Afin que votre plan offre simplicité d'utilisation et d'administration. ! expliquer les instructions de planification de l'administration des objets Stratégie de groupe . ! expliquer les instructions de détermination d'une stratégie de groupe pour les sites . la séparation des tâches d'administration.66 Module 5 : Implémentation d'une stratégie de groupe Leçon : Planification d'une stratégie de groupe pour l'entreprise ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Lorsque vous planifiez une structure Active Directory. le choix d'une administration centralisée ou décentralisée. l'administration et le déploiement qui offre la gestion de stratégie de groupe la plus efficace possible pour votre organisation. vous serez à même d'effectuer les tâches suivantes : ! expliquer les instructions de planification des objets Stratégie de groupe . ainsi que la flexibilité de conception. . ! expliquer les instructions de déploiement des objets Stratégie de groupe. Envisagez également la façon dont vous allez implémenter la stratégie de groupe pour l'organisation.

en commençant par le domaine. notamment via l'utilisation de l'héritage et des liaisons multiples. ! Désactivez les paramètres de configuration de l'ordinateur ou de l'utilisateur. afin d'éviter de créer plusieurs liaisons du même objet à un niveau plus bas. puis en liant l'objet Stratégie de groupe de ce conteneur. vous bénéficiez de l'héritage de stratégie de groupe. Réduisez ce nombre en utilisant plusieurs liaisons au lieu de créer plusieurs objets Stratégie de groupe identiques. Lorsque vous créez un objet Stratégie de groupe destiné à contenir les paramètres de l'un de ces deux niveaux (utilisateur ou ordinateur). Les objets Stratégie de groupe à un niveau supérieur n'appliqueront pas les paramètres de ces objets Stratégie de groupe spécialisés. ! Diminuez le nombre des objets Stratégie de groupe. Module 5 : Implémentation d'une stratégie de groupe 67 Instructions de planification des objets Stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Créez des objets Stratégie de groupe de façon à offrir une simplicité d'utilisation et de gestion optimale. Instructions Appliquez les instructions suivantes pour planifier les objets Stratégie de groupe : ! Appliquez les paramètres de stratégie de groupe au plus haut niveau. Utilisez ces objets Stratégie de groupe pour appliquer des paramètres uniques si nécessaire. . Déterminez les paramètres communs des objets Stratégie de groupe pour le plus grand conteneur. Essayez de lier un objet Stratégie de groupe au plus grand conteneur possible. Cela permet d'améliorer les performances d'application des objets Stratégie de groupe lors de la connexion de l'utilisateur et empêche l'application accidentelle des paramètres à l'autre zone. De cette façon. ! Créez des objets Stratégie de groupe spécialisés. désactivez l'autre zone.

C'est pourquoi vous devez décider à l'avance d'appliquer la stratégie de groupe à tout ou partie des utilisateurs et ordinateurs. Utilisez cette option uniquement pour les objets Stratégie de groupe que vous voulez absolument appliquer. ! Utilisez l'option Blocage de l'héritage avec modération.68 Module 5 : Implémentation d'une stratégie de groupe Instructions pour déterminer l'héritage des objets Stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction L'héritage des objets Stratégie de groupe tient une place importante dans l'implémentation de la stratégie de groupe d'une entreprise. Ce paramètre complique la résolution des problèmes et l'administration des objets Stratégie de groupe. . ! Utilisez l'option Appliqué (Ne pas passer outre) uniquement lorsqu'elle est requise. Limitez le nombre de filtres de sécurité en créant et en liant des objets Stratégie de groupe au niveau approprié. par exemple les paramètres de sécurité exigés par l'entreprise. Assurez-vous que ces objets Stratégie de groupe contiendront uniquement ces paramètres importants. Utilisez le filtrage de sécurité lorsque des paramètres s'appliquent uniquement à un groupe de sécurité particulier dans un conteneur. ! Utilisez le filtrage de sécurité en cas de besoin uniquement. Instructions Appliquez les instructions suivantes pour déterminer l'héritage des objets Stratégie de groupe.

! Créez des objets Stratégie de groupe dans le domaine qui comporte le plus grand nombre de contrôleurs de domaine sur ce site. Module 5 : Implémentation d'une stratégie de groupe 69 Instructions pour déterminer une stratégie de groupe pour les sites ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Vous pouvez lier des objets Stratégie de groupe à un site. elle n'affecte pas les utilisateurs itinérants sur ce site s'ils ont accès au réseau à partir d'un autre site. quel que soit le domaine auquel appartient l'utilisateur ou l'ordinateur. . de façon à appliquer des paramètres à l'ensemble des ordinateurs et utilisateurs se trouvant physiquement sur ce site. La résolution des problèmes de paramètres de stratégie de groupe liés au site peut s'avérer compliquée. Lorsque la stratégie de groupe est définie au niveau du site. Un contrôleur de domaine du domaine contenant l'objet Stratégie de groupe lié au site est contacté avant l'application de l'objet. Instructions Appliquez les instructions suivantes pour déterminer une stratégie de groupe pour des sites : ! Appliquez un objet Stratégie de groupe à un site uniquement si les paramètres sont spécifiques au site et non au domaine.

70 Module 5 : Implémentation d'une stratégie de groupe Instructions de planification de l'administration des objets Stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Veillez à documenter les éléments suivants relatifs à votre stratégie de gestion des objets Stratégie de groupe dans votre organisation. Déterminez également la personne qui va gérer les objets Stratégie de groupe. organiser la stratégie de groupe en fonction des catégories d'administration suivantes : • Gestion de la configuration des utilisateurs • Gestion des données • Distribution des logiciels ! Planifiez l'audit des objets Stratégie de groupe. De cette façon. Vous pouvez. ! Organisez les objets Stratégie de groupe en fonction de la maintenance administrative. vous pourrez déléguer le contrôle des objets Stratégie de groupe au groupe approprié et réduire le risque potentiel qu'un administrateur remplace les modifications apportées par un autre administrateur à un objet Stratégie de groupe donné. Déterminez quelles personnes vont créer et lier des objets Stratégie de groupe dans votre organisation. . afin que vous puissiez vérifier que Active Directory applique correctement les paramètres. par exemple. Votre organisation peut vous demander d'enregistrer les modifications apportées aux objets Stratégie de groupe ainsi que leur utilisation. Instructions Appliquez les instructions suivantes pour planifier l'administration des objets Stratégie de groupe : ! Identifiez votre stratégie d'administration pour la gestion des objets Stratégie de groupe. et quelles personnes vont mais ne pourront pas les créer.

afin de vérifier que les paramètres de stratégie de groupe prévus ont bien été appliqués et qu'aucun conflit d'héritage ne se produit. veillez à tester et à documenter votre stratégie de groupe. Instructions Appliquez les instructions suivantes pour déployer des objets Stratégie de groupe : ! Testez les paramètres de stratégie de groupe. • L'ouverture de session dans toutes les conditions envisageables. . Module 5 : Implémentation d'une stratégie de groupe 71 Instructions de déploiement des objets Stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Lorsque vous planifiez l'implémentation de la stratégie de groupe. afin de vous assurer que les paramètres de stratégie de groupe sont appliqués de façon homogène. Testez les résultats des objets Stratégie de groupe dans différentes situations. Vous pouvez utiliser l'Assistant Modélisation de stratégie de groupe et l'Assistant Résultats de stratégie de groupe pour déterminer quels paramètres de stratégie de groupe ont été appliqués et à partir de quels objets Stratégie de groupe. Les stratégies de test incluent : • L'ouverture de session en tant qu'utilisateur représentatif sur des stations de travail représentatives. • Le test des ordinateurs portables en les connectant au réseau depuis les différents sites sur lesquels les utilisateurs sont susceptibles d'ouvrir une session. Bon nombre des organisations de moyenne et grande taille créent une version miniature de leur environnement de production pour l'utiliser comme « banc d'essai ». Dans les petites entreprises. implémentez la stratégie de groupe dans l'environnement de production en dehors des heures de pointe. et mettez en place une stratégie de régression afin de corriger tout problème qui surviendrait. qui ne disposent pas des mêmes ressources.

. afin de facilement résoudre les problèmes et gérer la stratégie de groupe. • Les paramètres de stratégie de groupe de chaque objet Stratégie de groupe. désactivation partielle ou totale. • Les liaisons d'objets Stratégie de groupe à un site. Conservez toujours la liste détaillée de tous les objets Stratégie de groupe. Pensez à inclure les informations suivantes dans votre liste : • Le nom et la fonction de chaque objet Stratégie de groupe.72 Module 5 : Implémentation d'une stratégie de groupe ! Documentez le plan de stratégie de groupe. un domaine ou une unité d'organisation. • Tout paramètre spécial appliqué à l'objet Stratégie de groupe (Appliqué. par exemple).

ouvrez la page Web sur le CD-ROM des stagiaires. Module 5 : Implémentation d'une stratégie de groupe 73 Application pratique : Implémentation d'une stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Emplacement de fichier Pour commencer la présentation Implémentation d'une stratégie de groupe. . Lisez les instructions et commencez la présentation sous l'onglet Effets des paramètres Stratégie de groupe. vous allez déterminer les effets de l'application de certains paramètres de stratégie de groupe et de l'héritage des objets Stratégie de groupe. cliquez sur Multimédia. puis sur le titre de la présentation. Objectif Dans cette application pratique. N'ouvrez pas cette présentation avant d'y être invité par l'instructeur. Instructions La présentation Implémentation d'une stratégie de groupe inclut des exercices de type QCM et glisser-déplacer destinés à tester vos connaissances.

! connaître l'Éditeur d'objets de stratégie de groupe et l'Assistant Modélisation de stratégie de groupe. vous devez : ! connaître la console Gestion de stratégie de groupe . ! vérifier les paramètres de stratégie de groupe. Durée approximative de cet atelier : 75 minutes . ! lier des objets Stratégie de groupe . Conditions préalables Avant de travailler sur cet atelier.74 Module 5 : Implémentation d'une stratégie de groupe Atelier A : Implémentation d'une stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Objectifs À la fin de cet atelier. vous serez à même d'effectuer les tâches suivantes : ! créer et configurer des objets Stratégie de groupe .

Utilisez Votre_Domaine\Administrateur comme nom d'utilisateur et le mot de passe P@ssw0rd. Northwind Traders souhaite également implémenter un historique des mots de passe. vous allez créer une unité d'organisation pour le service Comptabilité et séparer les unités d'organisation pour les groupes Créances et Dettes au sein du service Comptabilité. Le groupe Dettes dispose d'un environnement informatique ouvert qui nécessite que les utilisateurs ouvrent parfois une session sur d'autres ordinateurs. Créer l'objet Stratégie de a. afin que les employés ne puissent pas réutiliser les dix derniers mots de passe. Créez un nouvel objet Stratégie de groupe. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser unités d'organisation. Module 5 : Implémentation d'une stratégie de groupe 75 Exercice 1 Création et configuration d'objets Stratégie de groupe Dans cet exercice. • Supprimer et empêcher l'accès à la commande Arrêter • Appliqué . groupe Accounting et b. si vous n'êtes pas déjà connecté. Vous allez effectuer ces tâches sur votre domaine de la forêt. Liez l'objet Stratégie de groupe à l'unité d'organisation Accounting. Configurez les paramètres de stratégie de groupe suivants : l'ensemble des utilisateurs • Supprimer le menu Exécuter du menu Démarrer dans Accounting. Les règles de l'entreprise exigent que les mots de passe soient réinitialisés tous les 30 jours et qu'ils comportent au moins huit caractères. Pour cette raison. b. Créer la structure à trois a. Vous devez vous assurer que ce service utilise certains paramètres globaux de l'objet Stratégie de groupe de l'entreprise. Vous allez ensuite créer et configurer des objets Stratégie de groupe pour les groupes Créances et Dettes. Scénario Northwind Traders souhaite un contrôle strict des stratégies utilisées par le service Comptabilité. Le groupe Créances a besoin de désactiver la fonctionnalité Ajouter ou supprimer des programmes du Panneau de configuration. Utilisez la commande Exécuter en tant que pour ouvrir la console Utilisateurs et ordinateurs Active Directory. Tâches Instructions spécifiques 1. Le service Comptabilité souhaite une station de travail pour tous les utilisateurs de chaque département de l'organisation. Northwind Traders souhaite désactiver la fonctionnalité de verrouillage des ordinateurs. Chaque mot de passe doit répondre à ces exigences. vérifier que les paramètres clés sont propagés à c. (Nom_Ordinateur désignant le nom de l'ordinateur sur lequel vous travaillez) avec le mot de passe P@ssw0rd. puis créez les unités d'organisation suivantes : • Accounting • Accounts Receivable • Accounts Payable 2. Vous allez créer un objet Stratégie de groupe standard Accounting pour supprimer la commande Exécuter du menu Démarrer et supprimer la commande Arrêter des utilisateurs et ordinateurs.

4. groupe Accounting et lui b. Configurer l'objet Stratégie " Modifiez l'objet Stratégie de groupe Accounts Receivable pour définir de groupe Accounts les stratégies sur la valeur suivante : Receivable. 6. . Copiez l'objet Stratégie de groupe Accounting. groupe Accounting et lui b. Donnez le nom de Accounts Receivable à la copie. donner le nom de Accounts Receivable. Copiez l'objet Stratégie de groupe Accounting. Donnez le nom de Accounts Payable à la copie.76 Module 5 : Implémentation d'une stratégie de groupe Tâches Instructions spécifiques 3. Copier l'objet Stratégie de a. donnez le nom de Accounts Payable. • Supprimer l'application Ajouter ou supprimer des programmes 5. Copier l'objet Stratégie de a. • Désactiver le verrouillage de l'ordinateur (le chemin d'accès à cette option est Configuration utilisateur\Modèles d'administration\Système\Options Ctrl+Alt+Suppr). Configurez l'objet Stratégie " Modifiez l'objet Stratégie de groupe Accounts Payable pour définir les de groupe Accounts stratégies sur la valeur suivante : Payable.

vous pourrez appliquer des stratégies au niveau ordinateur ou utilisateur. • Accounts Payable . Tâches Instructions spécifiques " Lier les objets Stratégie de " Dans la console Gestion de stratégie de groupe. Une fois les objets liés. vous allez lier des objets Stratégie de groupe à l'unité d'organisation appropriée. Module 5 : Implémentation d'une stratégie de groupe 77 Exercice 2 Liaison d'objets Stratégie de groupe Dans cet exercice. liez les unités groupe Accounts Receivable d'organisation suivantes à l'objet Stratégie de groupe approprié : et Accounts Payable à l'unité • Accounts Receivable d'organisation appropriée.

2. . Affichez les trois résultats de modélisation que vous avez créés à de l'Assistant Modélisation l'étape précédente. vérifier les paramètres de stratégie de groupe. de stratégie de groupe pour b. Utiliser l'Assistant a. Accounting. Passez les paramètres en revue pour vous assurer de leur homogénéité. Passer en revue les résultats a. Dans la console Gestion de stratégie de groupe.78 Module 5 : Implémentation d'une stratégie de groupe Exercice 3 Vérification des paramètres de stratégie de groupe Dans cet exercice. de groupe pour vérifier les b. vous allez utiliser l'Assistant Modélisation de stratégie de groupe pour vérifier les paramètres de stratégie de groupe que vous avez configurés dans les exercices précédents. Acceptez les valeurs par défaut pour chaque unité d'organisation objets Stratégie de groupe Accounting. Tâches Instructions spécifiques 1. ouvrez l'Assistant Modélisation de stratégie Modélisation de stratégie de groupe.

Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Table des matières Vue d'ensemble 1 Leçon : Présentation de la gestion du déploiement de logiciels 2 Leçon : Déploiement de logiciels 7 Leçon : Configuration du déploiement des logiciels 19 Leçon : Maintenance des logiciels déployés 28 Leçon : Résolution des problèmes liés au déploiement de logiciels 37 Leçon : Planification d'une stratégie de déploiement de logiciels 45 Atelier A : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 53 .

 2003 Microsoft Corporation. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son pays. personnes. Sans limitation des droits d'auteur. sans la permission expresse et écrite de Microsoft Corporation. les adresses de messagerie. soit des marques déposées de Microsoft Corporation. Active X. les logos. stockée ou introduite dans un système d'extraction. PowerPoint. ou transmise à quelque fin ou par quelque moyen que ce soit (électronique. MSDN. Visual C++ et Windows Media sont soit des marques de Microsoft Corporation. de marques. adresses de messagerie. de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. les noms de domaines. marques. noms de domaines. produits. Windows.Les informations contenues dans ce document. Sauf mention contraire. mécanique. Visio. Windows NT. . aux États-Unis d'Amérique et/ou dans d'autres pays. de dépôts de brevets en cours. lieux et événements existants ou ayant existé serait purement fortuite. les sociétés. Visual Basic. la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets. les personnes. aucune partie de ce manuel ne peut être reproduite. pourront faire l'objet de modifications sans préavis. Les produits mentionnés dans ce document peuvent faire l'objet de brevets. Microsoft. enregistrement ou autre). logos. Les autres noms de produit et de société mentionnés dans ce document sont des marques de leurs propriétaires respectifs. Active Directory. les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés. droits d'auteur ou autres droits de propriété intellectuelle. MS-DOS. photocopie. notamment les adresses URL et les références à des sites Web Internet. les produits. Tous droits réservés.

les stagiaires seront à même d'effectuer les tâches suivantes : ! expliquer les concepts de base du déploiement de logiciels à l'aide de la stratégie de groupe . ! assurer la maintenance des logiciels déployés à l'aide de la stratégie de groupe . Documents de cours Pour animer ce module. ! lire l'Annexe C « Utilisation de DFS » sur le CD-ROM du stagiaire . ! étudier les applications pratiques et les questions d'évaluation ainsi que les suggestions de réponses fournies . ! configurer le déploiement de logiciels à l'aide de la stratégie de groupe . Important Il est recommandé d'utiliser PowerPoint 2002 ou une version ultérieure pour afficher les diapositives de ce cours. ! lire le livre blanc Windows Installer Service Overview (en anglais) sous Documentation supplémentaire sur la page Web du CD-ROM du stagiaire . Préparation Pour préparer ce module. ! lire le livre blanc Windows 2000 Server Software Installation and Maintenance (en anglais) sous Documentation supplémentaire sur la page Web du CD-ROM du stagiaire. et sur la planification du déploiement de logiciels. il se peut que toutes les fonctionnalités des diapositives ne s'affichent pas correctement. . ! déployer des logiciels à l'aide de la stratégie de groupe . vous devez disposer du fichier Microsoft PowerPoint® 2194A_06. ! lire l'Annexe B « Publication des packages d'Installateur non-Windows » sur le CD-ROM du stagiaire . tout au long du module. ! planifier une stratégie de déploiement de logiciels. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe iii Notes de l'instructeur Présentation : Ce module fournit aux stagiaires des informations sur le déploiement et la 120 minutes gestion des logiciels à l'aide de la stratégie de groupe dans Microsoft® Windows Server™ 2003. ! résoudre quelques problèmes courants liés au déploiement des logiciels . Si vous utilisez la Visionneuse PowerPoint ou une version antérieure de PowerPoint. vous devez effectuer les tâches suivantes : ! lire tous les documents de cours relatifs à ce module . sur la configuration. anticiper autant que possible les réponses que les stagiaires sont susceptibles de donner et préparer des réponses appropriées en conséquence . la maintenance et le dépannage des logiciels 60 minutes déployés. anticiper les questions que les stagiaires sont susceptibles de poser et préparer des réponses appropriées pour chacune de ces questions . Le module met l'accent sur les concepts de base du déploiement Atelier : de logiciels .ppt. À la fin de ce module. ! réaliser l'atelier .

Les stagiaires n'ont pas besoin de ces informations pour exécuter les tâches présentées dans ce module. Les stagiaires n'effectuent pas les tâches en même temps que vous. Applications pratiques Après avoir présenté le contenu d'une rubrique et les procédures de la leçon. les applications applications pratiques pratiques et les ateliers ont été conçus pour ce cours. Durant la classe. l'atelier propose des instructions présentées sous forme de deux colonnes.iv Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Comment animer ce module Cette section contient des informations qui ont pour but de vous aider à animer ce module. Un module comprend au et ateliers minimum deux leçons. En utilisant des scénarios correspondant à l'environnement professionnel du stagiaire. Ateliers À la fin de chaque module. La colonne de gauche indique la tâche à effectuer (par exemple. La colonne de droite contient des instructions spécifiques pour effectuer la tâche (par exemple : à partir du composant Utilisateurs et ordinateurs Active Directory. ou demander aux stagiaires de préparer les réponses de leur côté. Procédures Les procédures vous permettent de montrer comment effectuer une tâche. expliquez qu'une application pratique est une occasion pour les stagiaires d'effectuer les tâches décrites dans la leçon. La plupart des leçons comprennent des procédures et une application pratique. Avant d'animer la classe. l'atelier permet aux stagiaires de mettre en pratique toutes les tâches abordées dans l'ensemble du module. Ils se servent des étapes décrites pour effectuer l'application pratique à la fin de chaque leçon. le module enchaîne sur un atelier. Envisagez de les utiliser pour consolider leurs connaissances à la fin de la journée. Vous pouvez les présenter en introduction pour aider les stagiaires à identifier les difficultés ou en conclusion pour valider leurs connaissances. passez en revue ces informations dans la page des annexes sur le CD-ROM du stagiaire. Procédures. double-cliquez sur le nœud du domaine). Une fois que les stagiaires ont terminé les leçons. indiquez ces annexes aux stagiaires pour obtenir des informations complémentaires. Laissez 10 minutes aux stagiaires pour préparer leurs réponses aux questions d'évaluation. . Expliquez aux stagiaires de quelle manière les procédures. Remarque Certaines rubriques font référence à des informations complémentaires situées dans les annexes. Important Ce module inclut des éléments requis pour chaque leçon. créer un groupe). Vous pouvez aussi les utiliser en début de journée pour passer en revue les éléments abordés la veille. situés sur le CD-ROM du stagiaire. Vous pouvez choisir de parcourir ensemble les questions et les réponses.

ils disposent d'un corrigé de chacun des ateliers sur le CD-ROM du stagiaire. Décrivez le processus de création d'un point de distribution de logiciels. Discutez des avantages liés à la publication des logiciels plutôt qu'à leur installation. Analysez quelques-uns des problèmes courants auxquels les administrateurs sont confrontés lors du déploiement et de la gestion de logiciel au sein d'une organisation. Bien que les stagiaires aient peut-être défini globalement les paramètres par défaut pour de nouveaux packages dans l'objet Stratégie de groupe. Présentez le processus de déploiement des logiciels. Il se peut que les stagiaires aient des questions portant sur des packages autres que Windows Installer. ils peuvent ultérieurement modifier certains de ces mêmes paramètres en éditant les propriétés du package. Présentez la gestion du déploiement de logiciels en décrivant brièvement chaque phase d'installation logicielle. Lisez l'Annexe B « Publication des packages d'Installateur non-Windows » sur le CD-ROM du stagiaire pour plus d'informations sur l'utilisation de packages autres que Windows installer. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe v Si les stagiaires ont besoin d'instructions détaillées pour mener à bien l'atelier. Expliquez quand il peut être plus approprié d'affecter un logiciel à un utilisateur ou à des ordinateurs. Présentez Microsoft Windows Installer et décrivez son rôle dans l'installation et la maintenance des logiciels. Leçon : Déploiement de logiciels Les informations de cette leçon présentent les connaissances et les compétences requises pour permettre aux stagiaires de déployer des logiciels. Leçon : Présentation de la gestion du déploiement de logiciels Les informations de cette leçon présentent les connaissances de base requises pour permettre aux stagiaires de gérer le déploiement de logiciels. Application pratique Cette leçon ne comporte pas d'application pratique. en évitant de trop entrer dans les détails de chaque phase. Montrez comment les utilisateurs peuvent utiliser Ajouter ou supprimer des programmes du Panneau de configuration pour installer des logiciels. Discutez des consignes de création d'un point de distribution de logiciels dans la leçon sur la planification. Expliquez la distinction entre affecter un logiciel à un utilisateur et l'affecter à un ordinateur. Illustrez la procédure d'utilisation de la stratégie de groupe pour l'affectation et la publication du package de logiciels. Expliquez aux stagiaires qu'ils peuvent configurer les options par défaut d'installation logicielle pour les objets Stratégie de groupe courants (GPO. . Ils peuvent également se reporter aux applications pratiques et aux procédures du module. Montrez comment modifier les options de déploiement pour une application. Group Policy Object) lorsqu'ils ajoutent simultanément plusieurs applications à un objet Stratégie de groupe et qu'ils veulent utiliser les mêmes options pour elles par défaut. Expliquez le processus utilisé lorsqu'un utilisateur clique double-clique sur un type de fichier inconnu.

Indiquez aux stagiaires l'onglet Modifications de la boîte de dialogue des propriétés pour une application publiée. ainsi que les stratégies suggérées pour les résoudre. Leçon : Maintenance des logiciels déployés Les informations de cette leçon présentent les connaissances et les compétences requises pour permettre aux stagiaires d'assurer la maintenance des logiciels déployés. Précisez qu'une liste des extensions de noms de fichiers et des applications qui leur sont associées sont stockées dans le service d'annuaire Active Directory®. Présentez quelques-uns problèmes les plus courants auxquels ils pourraient être confrontés. Application pratique Au cours des applications pratiques et à la fin de la leçon. Illustrez la procédure utilisée pour le déploiement d'une mise à niveau obligatoire ou facultative. Expliquez le processus utilisé pour la suppression de logiciels déployés. Présentez la configuration du déploiement de logiciels. Leçon : Résolution des problèmes liés au déploiement de logiciels Les informations de cette leçon présentent les connaissances et les compétences requises pour permettre aux stagiaires de résoudre des problèmes courants liés au déploiement des logiciels. Indiquez aux stagiaires qu'ils peuvent être confrontés à des problèmes lors du déploiement de logiciels à l'aide de la stratégie de groupe. Présentez le concept de maintenance des logiciels déployés. Illustrez la procédure utilisée pour la suppression de logiciels déployés. et décrivez comment ajouter un fichier de transformation. Application pratique Au cours de l'application pratique et à la fin de la leçon. .vi Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Indiquez aux stagiaires les annexes à consulter pour plus d'informations sur les options relatives aux logiciels déployés. demandez aux stagiaires de se reporter au scénario d'entreprise pour déployer des logiciels à l'aide de la stratégie de groupe. Précisez que lorsque vous configurez un objet Stratégie de groupe. Expliquez le concept de gestion des extensions de noms de fichiers à l'aide du composant Installation de logiciel de la stratégie de groupe. Insistez sur le fait qu'un redéploiement exige que vous obteniez les fichiers d'application mis à jour ainsi qu'un nouveau fichier de package Windows Installer. Montrez comment redéployer des logiciels. Expliquez comment vous utilisez des catégories de logiciels pour classer des applications dans Ajouter ou supprimer des programmes. Leçon : Configuration du déploiement des logiciels Les informations de cette leçon présentent les connaissances et les compétences requises pour permettre aux stagiaires de configurer le déploiement de logiciels. Application pratique Au cours des applications pratiques et à la fin de la leçon. demandez aux stagiaires de se reporter au scénario d'entreprise pour assurer la maintenance des logiciels déployés. demandez aux stagiaires de se reporter au scénario d'entreprise lorsqu'ils configurent le déploiement de logiciels. Illustrez le concept d'ajout de modifications à un package de logiciels. le logiciel est automatiquement supprimé.

les objets Stratégie de groupe et la maintenance des logiciels. La section de ce cours relative à la planification suppose que l'ingénieur système a reçu une conception d'Active Directory mais qu'il doit développer une stratégie pour le déploiement de logiciels à l'aide de la stratégie de groupe. demandez aux stagiaires de se reporter au scénario d'entreprise lorsqu'ils planifient une stratégie de déploiement de logiciels. Expliquez le scénario avec les stagiaires et dites-leur qui sera leur partenaire de domaine. En conséquence. Pour finir. . Il est important de comprendre le système de fichiers DFS (DFS. Déterminez les paramètres requis pour que les stagiaires remplissent les objectifs du scénario. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe vii Application pratique Au cours des applications pratiques et à la fin de la leçon. Application pratique Au cours des applications pratiques et à la fin de la leçon. Atelier A : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe L'atelier de ce module donne aux stagiaires l'occasion de déployer et de gérer des logiciels à l'aide de la stratégie de groupe. demandez aux stagiaires de se reporter au scénario d'entreprise lorsqu'ils procèdent au dépannage d'un déploiement de logiciels. Ils supprimeront ensuite les logiciels déployés précédemment en éditant la stratégie de groupe. les stagiaires mettront à niveau les logiciels qu'ils ont déployés. puis utiliseront ce même package pour comparer les différences. puis ils vérifieront les paramètres d'affectation des logiciels. les stagiaires vérifieront les paramètres d'installation logicielle en se connectant en tant qu'utilisateur recevant des paramètres pour l'objet Stratégie de groupe créé dans le cadre de la tâche précédente. Demandez aux stagiaires de se tenir prêts à argumenter leurs décisions. En travaillant sur le contrôleur de domaine qui leur est affecté. Les stagiaires prépareront leur contrôleur de domaine destiné à héberger les logiciels installés à l'aide de la stratégie de groupe. Lorsque la mise à niveau sera terminée. Ce cours n'enseigne pas le concept de DFS. Les stagiaires testeront les paramètres en examinant les nouveaux logiciels installés pour cet utilisateur. les stagiaires éditeront la stratégie de groupe pour publier une application et vérifieront les paramètres de publication des logiciels. Leçon : Planification d'une stratégie de déploiement de logiciels Les informations de cette leçon présentent les compétences et les connaissances requises pour que les stagiaires puissent planifier une stratégie de déploiement de logiciels en appliquant les instruction de planification des points de distribution de logiciels. les stagiaires supprimeront le package qu'ils avaient affecté dans l'exercice précédent. Après suppression du package affecté. Distributed File System) pour la planification des points de distribution de logiciels. les stagiaires vérifieront que celle-ci a bien installé la nouvelle application. Pour préparer la publication des logiciels. lisez l'Annexe C « Utilisation de DFS » sur le CD-ROM du stagiaire et encouragez les stagiaires à faire de même.

Pour préparer les ordinateurs des stagiaires à remplir cette condition. ! Elle met à niveau l'application Cosmo 1 à l'aide de l'application Cosmo 2. un composant logiciel enfichable MMC (Microsoft Management Console). vérifiez que les stagiaires ont effectué l'application pratique Création et configuration d'objets Stratégie de groupe du Module 5. Configuration requise L'atelier de ce module exige que la console Gestion des stratégies de groupe (GPMC.viii Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Configuration de l'atelier La liste suivante décrit la configuration requise pour l'atelier de ce module. ils doivent installer la console Gestion des stratégies de groupe à partir de \LONDON\Setup. . ! Elle publie l'application Cosmo 1. ! Elle affectation l'application Cosmo 1. ! Elle crée l'objet Stratégie de groupe de déploiement de logiciels de l'atelier. Group Policy Management Console). S'ils ne l'ont pas réalisée. soit installée. Résultats de l'atelier L'exécution de l'atelier de ce module induit les changements de configuration ci-dessous.

Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 1 Vue d'ensemble ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Microsoft® Windows Server™ 2003 comporte une fonctionnalité appelée Installation et maintenance du logiciel qui utilise le service d'annuaire Active Directory®. . ! assurer la maintenance des logiciels déployés à l'aide de la stratégie de groupe . gérer et supprimer des logiciels sur les ordinateurs dans votre organisation. la stratégie de groupe et Microsoft Windows Installer pour installer. ! configurer le déploiement de logiciels à l'aide de la stratégie de groupe . L'utilisation d'une méthode de gestion de déploiement de logiciels basée sur une stratégie garantit que les applications dont les utilisateurs ont besoin pour faire leur travail sont disponibles où et quand elles sont requises. ! planifier une stratégie de déploiement de logiciels. Objectifs À la fin de ce module. ! déployer des logiciels à l'aide de la stratégie de groupe . vous serez à même d'effectuer les tâches suivantes : ! expliquer les concepts de base du déploiement de logiciels à l'aide de la stratégie de groupe . ! résoudre quelques problèmes courants liés au déploiement des logiciels .

. Objectifs de la leçon À la fin de cette leçon. les utilisateurs ont un accès immédiat au logiciel dont ils ont besoin pour faire leur travail. ! expliquer comment vous utilisez Windows Installer pour installer les logiciels et assurer leur maintenance. et ils travaillent de manière transparente avec le logiciel pendant toute sa durée de vie. déploiement.2 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Leçon : Présentation de la gestion du déploiement de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Lorsque vous gérez des logiciels à l'aide de l'extension Installation de logiciel de la stratégie de groupe. vous serez à même d'effectuer les tâches suivantes : ! décrire chaque phase du processus d'installation et de maintenance du logiciel de déploiement de logiciels . maintenance et suppression. Le cycle de vie des logiciels est composé de quatre phases : préparation. La stratégie de groupe Installation de logiciels utilise la technologie Microsoft Windows® Installer pour gérer le processus d'installation.

Déploiement. la mise à niveau ou la suppression de logiciels. Vous créez un objet Stratégie de groupe qui installe le logiciel sur l'ordinateur et relie l'objet Stratégie de groupe à un conteneur Active Directory approprié. Préparez les fichiers permettant le déploiement d'une application à l'aide de la stratégie de groupe en copiant les fichiers de package Windows Installer pour une application dans un point de distribution de logiciels. Vous devez également identifier les risques liés à l'utilisation de l'infrastructure courante susceptibles d'empêcher l'installation logicielle. L'application de paramètres de stratégie de groupe à des logiciels vous permet de gérer les diverses phases du déploiement de logiciels sans déployer ceux-ci individuellement sur chaque ordinateur. un domaine ou une unité d'organisation pour automatiser l'installation. ou en créer un à l'aide d'un utilitaire tiers. . 2. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 3 Processus d'installation et de maintenance de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Windows Server 2003 vous permet d'utiliser la stratégie de groupe pour gérer le processus de déploiement de logiciels de manière centralisée ou à partir d'un emplacement. Vous devez déterminer tout d'abord si vous pouvez déployer le logiciel à l'aide de la structure des objets Stratégie de groupe courante. Préparation. qui peut être un dossier partagé sur un serveur. Processus La liste suivante décrit chaque phase du processus d'installation et de maintenance du logiciel : 1. Vous pouvez appliquer des paramètres de stratégie de groupe à des utilisateurs ou des ordinateurs dans un site. Vous pouvez acquérir un fichier de package Windows Installer auprès du fournisseur de l'application. Le logiciel est installé au démarrage de l'ordinateur ou lorsqu'un utilisateur démarre l'application.

Le logiciel est automatiquement supprimé au démarrage de l'ordinateur ou lorsqu'un utilisateur ouvre une session. Suppression. supprimez les paramètres du package de logiciels dans l'objet Stratégie de groupe à l'origine de son déploiement.4 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 3. Le logiciel est alors mis à niveau ou redéployé automatiquement au démarrage de l'ordinateur ou lorsqu'un utilisateur démarre l'application. Vous procédez à la mise à niveau d'un logiciel avec une nouvelle version. Maintenance. . 4. Pour éliminer un logiciel qui n'est plus requis. ou vous redéployez un logiciel avec un Service Pack ou une mise à niveau du logiciel.

Il installe une application directement à partir du CD-ROM ou à l'aide de la stratégie de groupe. Le service Windows Installer peut également modifier ou réparer une application installée existante. Ce composant automatise l'installation et la suppression d'applications en appliquant durant le processus d'installation un jeu de règles de configuration définies de façon centralisée. Composants de Windows Installer contient deux composants : Windows Installer ! Le service Windows Installer. Ce fichier de package contient toutes les informations dont le service Windows Installer a besoin pour installer ou désinstaller des logiciels. • Tout fichier source externe requis pour installer ou désinstaller le logiciel. • Un résumé des informations standard concernant le logiciel et le package. ! Le package Windows Installer. . • Les fichiers du produit ou une référence à un point d'installation où ces fichiers se trouvent. le service Windows Installer a besoin d'un package Windows Installer. Pour installer une application. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 5 Définition de Windows Installer ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Windows Server 2003 utilise Windows Installer pour permettre à la stratégie de groupe de déployer et de gérer des logiciels. Un fichier de package contient : • Un fichier Windows Installer portant une extension . Ce service côté client automatise intégralement le processus d'installation et de configuration logicielle.msi.

zap (packages autres que Windows Installer) pour publier les applications. Bien que les commandes du menu soient accessibles. ou lorsqu'un fichier de package Windows Installer n'est pas disponible. Si un fichier critique est supprimé ou endommagé.6 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Avantages Les avantages de l'utilisation de la technologie Windows Installer sont les suivants : ! Installations personnalisées. . Cette méthode d'installation contribue à réduire à la fois la complexité de l'application et la quantité d'espace qu'elle occupe sur le disque dur. Des fonctionnalités optionnelles dans une application. peuvent être visibles dans un programme sans que la fonctionnalité ne soit installée. ! Applications tolérantes aux pannes. Windows Installer désinstalle des applications sans laisser de fichiers orphelins ni endommager une autre application par inadvertance — par exemple. Windows Installer supprime tous les paramètres de registre liés à l'application et stocke dans une base de données les transactions d'installation et les fichiers journaux qui en découlent. Pour obtenir des informations sur les packages autres que Windows Installer. lorsqu'un utilisateur supprime un fichier partagé dont une autre application a besoin. ! Suppression propre. De plus. Consultez également le livre blanc Windows Installer Service Overview (en anglais) sous Documentation supplémentaire sur la page Web du CD-ROM du stagiaire. la fonctionnalité n'est pas installée avant que l'utilisateur n'accède à la commande dans le menu. Remarque Lorsqu'il n'est pas plausible d'utiliser un logiciel de reconditionnement pour reconditionner une application. sans que l'utilisateur n'ait à intervenir. l'application récupère automatiquement une nouvelle copie du fichier à partir de la source d'installation. telles que des images clipart ou un thésaurus. utilisez des fichiers . reportez-vous à l'annexe B « Publication des packages d'Installateur non- Windows » sur le CD-ROM du stagiaire.

! décrire les options par défaut d'installation de logiciels . les logiciels sont toujours disponibles et fonctionnels. Du point de vue de l'utilisateur. vous serez à même d'effectuer les tâches suivantes : ! expliquer le processus du déploiement de logiciels à l'aide de la stratégie de groupe . ! modifier les options d'installation de logiciels. ! créer un objet Stratégie de groupe pour affecter des logiciels ou les publier . Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 7 Leçon : Déploiement de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Le déploiement de logiciels garantit que les applications requises sont disponibles à partir de chaque ordinateur auquel l'utilisateur se connecte. Les administrateurs peuvent installer à l'avance les logiciels pour les utilisateurs ou permettre à ceux-ci d'installer au coup par coup les logiciels dont ils ont besoin. . Objectifs de la leçon À la fin de cette leçon. ! créer un point de distribution de logiciels pour déployer ces derniers . ! expliquer le rôle de l'affectation et de la publication de logiciels .

Le fait de rassembler les fichiers en un même endroit pour chaque application simplifie l'administration. Créez un point de distribution de logiciels. Windows Installer copie des fichiers à partir de ce point de distribution. Ce dossier partagé sur votre serveur contient les fichiers de package et de logiciels permettant le déploiement de logiciels. Vous devez créer ou modifier en conséquence un objet Stratégie de groupe pour le conteneur dans lequel vous souhaitez déployer l'application. Modifiez les propriétés de déploiement des logiciels. 2. 3. Utilisez un objet Stratégie de groupe pour le déploiement des logiciels. vous spécifiez comment les applications sont installées et gérées dans votre organisation. Vous pouvez configurer l'objet Stratégie de groupe pour le déploiement de logiciels pour un compte d'utilisateur ou d'ordinateur. En fonction de vos besoins.8 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Vue d'ensemble du processus de déploiement de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Lors du déploiement de logiciels. . Processus Exécutez les tâches suivantes pour utiliser la stratégie de groupe pour le déploiement de nouveaux logiciels : 1. Cette tâche inclut la sélection du type de déploiement dont vous avez besoin. Lorsque des logiciels sont installés sur un ordinateur local. vous pouvez modifier les propriétés qui avaient été définies durant le déploiement initial des logiciels.

mais que ce logiciel a été affecté à l'utilisateur. . si l'utilisateur ouvre un fichier qui utilise Microsoft Excel sur un ordinateur qui ne comporte pas Excel. En outre. Pourquoi publier La publication des logiciels vous permet de vous assurer qu'ils sont disponibles un logiciel ? aux utilisateurs pour que ceux-ci les installent sur leurs ordinateurs. l'utilisateur supprime un logiciel. Comme les utilisateurs doivent installer des logiciels publiés. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 9 Affectation de logiciels et publication de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction L'affectation de logiciels et la publication de logiciels constituent les deux types de déploiement. Windows Installer le réinstalle lorsque l'utilisateur se reconnecte et démarre l'application. pas auprès d'ordinateurs. Windows Installer n'ajoute pas de raccourcis sur le Bureau de l'utilisateur ou dans le menu Démarrer. l'affectation de logiciels fait que ceux-ci sont tolérants aux pannes. pour une raison quelconque. Par exemple. et aucune entrée n'est enregistrée dans le registre local. Windows Installer installe Excel sur cet ordinateur lorsque l'utilisateur ouvre le fichier concerné. Si. vous ne pouvez publier des logiciels qu'auprès d'utilisateurs. Des raccourcis dans le menu Démarrer et des icônes sur le Bureau correspondant aux logiciels apparaissant lorsque l'utilisateur ouvre une session. Pourquoi affecter L'affectation des logiciels vous permet de vous assurer que l'utilisateur peut en un logiciel ? disposer en permanence.

dur et permet de gagner du temps. l'ordinateur envoie une requête à Active Directory pour déterminer si l'une des applications est associée à l'extension.10 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Méthodes d'affectation Vous pouvez affecter et publier des logiciels à l'aide de l'une des méthodes du et de publication de tableau suivant. sur un type de fichier inconnu. L'affectation l'utilisateur ne double-clique pas sur l'icône d'un logiciel à un ordinateur garantit la de l'application ou sur un fichier qui lui est disponibilité de certaines applications sur associé . les extensions de noms Ajouter ou supprimer des programmes pour de fichiers des documents qu'elle prend en afficher les applications disponibles. le logiciel n'est pas installé. de logiciel à un ordinateur servant de ce qui économise de l'espace sur le disque contrôleur de domaine. . cette méthode est appelée Activation cet ordinateur. Si l'utilisateur n'active pas qui l'utilise. l'ordinateur l'installe. charge sont enregistrées dans Active L'utilisateur peut sélectionner une application Directory. logiciels Méthode de déploiement Méthode 1 Méthode 2 Affectation Durant la configuration de l'utilisateur. Vous ne pouvez pas affecter l'application. quelle que soit la personne de document. programmes. aucune publication n'a lieu. Si Active Directory contient l'application requise. Durant la configuration de l'ordinateur. Le logiciel est installé automatiquement L'installation ne commence pas tant que au démarrage de l'ordinateur. le logiciel est publié sur le Bureau ordinateur. Lorsque vous affectez un logiciel à un Lorsque vous affectez un logiciel à un utilisateur. Publication À l'aide d'Ajouter ou supprimer des À l'aide de l'activation de document. de l'utilisateur lorsque celui-ci se connecte. L'utilisateur peut ouvrir le Lorsque vous publiez une application dans Panneau de configuration et double-cliquer sur Active Directory. Si un utilisateur double-clique puis cliquer sur Ajouter.

Créez les dossiers d'applications appropriés dans le dossier partagé. Affectez aux utilisateurs l'autorisation en lecture (Read) sur le système de fichier NTFS afin qu'ils puissent accéder aux fichiers d'installation logicielle requis dans le point de distribution de logiciels. créez un ou plusieurs points de distribution de logiciels dans lesquels vous copierez les logiciels concernés. 4. . Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 11 Création d'un point de distribution de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Pour déployer des logiciels pour des utilisateurs ou en assurer la disponibilité pour que ceux-ci les installent quand ils en ont besoin. 3. 2. procédez comme suit : 1. Procédure Pour créer un point de distribution de logiciels. Définissez l'autorisation appropriée pour le dossier partagé. Copiez dans les dossiers appropriés les packages Windows Installer ainsi que les fichiers connexes. Créez un dossier partagé.

puis cliquez sur Ouvrir. développez Paramètres du logiciel. \Nom_Serveur\Nom_Partage — sélectionnez le fichier de package. pointez sur Nouveau. 3. Dans la boîte de dialogue Déploiement du logiciel. créez un objet Stratégie de groupe qui déploie ces applications.12 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Utilisation d'un objet Stratégie de groupe pour le déploiement de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Après avoir créé un point de distribution de logiciels. naviguez jusqu'au point de distribution de logiciels à l'aide du nom UNC (Universal Naming Convention) — par exemple. Sous Configuration utilisateur ou Configuration ordinateur (selon que vous affectez le logiciel à des utilisateurs ou des ordinateurs. ne l'affectez ni ne le publiez aux utilisateurs affectés par ce même objet Stratégie de groupe. ou que vous le publiez auprès d'utilisateurs). cliquez avec le bouton droit sur Installation logicielle. Procédure Pour utiliser un objet Stratégie de groupe pour le déploiement de logiciels. Important N'affectez ni ne publiez plusieurs fois un package Windows Installer dans un même objet Stratégie de groupe. . Créez ou éditez un objet Stratégie de groupe. sélectionnez une méthode de déploiement. Par exemple. procédez comme suit : 1. puis cliquez sur Package. puis cliquez sur OK. si vous affectez Microsoft Office XP aux ordinateurs affectés par un objet Stratégie de groupe. 4. puis reliez l'objet Stratégie de groupe au conteneur qui contient les utilisateurs ou les ordinateurs auprès desquels vous souhaitez déployer des logiciels. 2. Dans la boîte de dialogue Ouvrir un fichier.

Options Le tableau suivant répertorie les options par défaut d'installation logicielle. mais assurez-vous que le point de distribution est un chemin UNC plutôt qu'une unité locale. Utilisez cette option si vous envisagez d'ajouter à cet objet Stratégie de groupe plusieurs applications devant être affectées. Utilisez l'option Publier pour publier automatiquement par défaut un nouveau fichier de package d'installation sous Configuration utilisateur (cette option n'apparaît pas sous Configuration ordinateur). lorsque vous utilisez des transformations. Utilisez l'option Avancé pour obtenir un meilleur contrôle sur une base par package — par exemple. Option Description Emplacement des Emplacement du point de distribution de logiciels qui packages par contient les fichiers de package . Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 13 Options par défaut pour installation logicielle ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Vous pouvez configurer les options par défaut d'installation logicielle pour l'objet Stratégie de groupe courant lorsque vous souhaitez ajouter simultanément plusieurs applications à un objet Stratégie de groupe ou utiliser les mêmes options pour elles par défaut. Utilisez cette option si vous envisagez d'ajouter à cet objet Stratégie de groupe plusieurs applications devant être publiées. Lors de l'ajout de Utilisez l'option Afficher la boite de dialogue de déploiement nouveaux packages de logiciel pour afficher une boîte de dialogue pour chaque dans les paramètres fichier de package que vous ajoutez à l'objet Stratégie de utilisateur groupe. .msi Vous pouvez spécifier défaut tout emplacement contenant le package de logiciels. Utilisez l'option Attribuer pour affecter automatiquement un nouveau fichier de package. Cette boîte de dialogue vous invite à publier ou à affecter le nouveau fichier de package.

14 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe (suite) Option Description Options de Les packages de Windows Installer sont souvent fournis avec l'interface deux interfaces de configuration. L'interface l'installation Toutes invite l'utilisateur à entrer des valeurs. . L'interface De base installe utilisateur de les logiciels en utilisant des valeurs par défaut. reportez-vous à la rubrique « Options par défaut pour installation logicielle » de la page d'annexe du Module 6 sur le CD-ROM du stagiaire. Vous pouvez choisir quelle interface afficher pour les utilisateurs durant la configuration. Remarque Pour plus d'informations sur les options des logiciels déployés.

gérée et supprimée. développez Paramètres du logiciel. 2. Vous pouvez définir globalement dans l'objet Stratégie de groupe les paramètres par défaut pour les nouveaux packages. ou que vous le publiez auprès d'utilisateurs). Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 15 Modification des options d'installation logicielle ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Un objet Stratégie de groupe peut contenir plusieurs paramètres qui affectent la manière dont une application est installée. procédez configuration des comme suit : options par défaut d'installation logicielle 1. 3. cliquez avec le bouton droit sur Installation logicielle. . vous pouvez modifier les propriétés qui avaient été définies durant le déploiement initial des logiciels. Créez ou éditez un objet Stratégie de groupe. Dans l'onglet Général. par exemple. Vous pouvez. sélectionnez l'option Désinstaller les applications lorsqu'elles se trouvent en dehors de l'étendue de la gestion. empêcher que les utilisateurs n'installent un package de logiciels à l'aide de l'activation de document. Dans l'onglet Avancées. Après avoir déployé un package de logiciels. Procédure de Pour configurer les options par défaut d'installation logicielle. puis cliquez sur Propriétés. Vous pouvez modifier ultérieurement certains de ces paramètres en éditant les propriétés du package dans l'extension Installation de logiciel. configurez les options suivantes d'installation logicielle : • Emplacement par défaut du package • Lors de l'ajout de nouveaux packages aux paramètres utilisateur • Options de l'interface utilisateur de l'installation 4. Sous Configuration utilisateur ou Configuration ordinateur (selon que vous affectez le logiciel à des utilisateurs ou des ordinateurs.

dans l'onglet Déploiement. Dans la boîte de dialogue Propriétés de l'application. puis cliquez sur Propriétés. cliquez avec le bouton droit sur le package déployé. procédez comme suit : relatives aux packages de logiciels déployés 1. Dans Installation logicielle.16 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Procédure de Pour modifier les propriétés de déploiement de logiciels d'un package de modification des options logiciels. 2. modifiez les options suivantes du package de logiciels déployé : • Type de déploiement • Options de déploiement • Options de l'interface utilisateur de l'installation .

puis cliquez sur Installation logicielle. 2. développez Forêt. 5. Ouvrez une session sous Nwtradersx\Nom_OrdinateurUser (Nom_Ordinateur étant le nom de l'ordinateur sur lequel vous travaillez). Dans l'éditeur des objets de stratégie de groupe. cliquez sur Nouveau. puis Domaines. 7. Cliquez avec le bouton droit sur Practice Software Deployment. avec pour mot de passe P@ssw0rd et cliquez ensuite sur OK. cliquez sur L'utilisateur suivant. Dans la boîte de dialogue Exécuter en tant que. puis cliquez sur Editer. Avant que l'équipe informatique ne déploie des logiciels dans toute l'organisation. vous allez créer un objet Stratégie de groupe à l'aide d'un package . tapez Practice Software Deployment puis cliquez sur OK. Vous devez déployer correctement cette application dans l'environnement de test avant de la diffuser dans l'environnement de production. 6. 4. puis développez et cliquez ensuite sur Objets de stratégie de groupe. cliquez avec le bouton droit sur Gestion des stratégies de groupe. pointez sur Outils d'administration. Cliquez avec le bouton droit sur Objets de stratégie de groupe. . Dans Gestion des stratégies de groupe. développez Paramètres du logiciel. 3. puis cliquez sur Exécuter en tant que. Vous utiliserez le package des outils de support de Windows comme application de test. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 17 Application pratique : Déploiement de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Objectifs Dans cette application pratique. Application pratique ! Déploiement de logiciels 1. Scénario Northwind Traders veut s'assurer que tout le personnel informatique peut gérer le déploiement de logiciels dans toute l'organisation.msi pour publier une application. Cliquez sur Démarrer. sous Configuration utilisateur. développez votre_domaine. tapez votre_domaine\Administrateur comme nom d'utilisateur. vous devez garantir un environnement sécurisé.

Fermez l'éditeur des objets de stratégie de groupe. 13. développez l'unité d'organisation Nom_Ordinateur. 10. 11. Dans la boîte de dialogue Ouvrir. . Fermez Gestion des stratégies de groupe. Dans Gestion des stratégies de groupe. naviguez jusqu'à \London\Labfiles\ Lab6\COSMO1. cliquez sur OK. 9. Dans la boîte de dialogue Déploiement du logiciel. puis cliquez sur OK.18 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 8.MSI. pointez sur Nouveau. cliquez sur COSMO1. cliquez avec le bouton droit sur l'unité d'organisation Recherche. cliquez sur Link an Existing GPO. puis cliquez sur Ouvrir. puis cliquez sur Package. 12. Cliquez avec le bouton droit sur Installation logicielle. puis sur Practice Software Deployment.

. ! créer des catégories de logiciels pour classer des applications dans Ajouter ou supprimer des programmes . ! associer des extensions de noms de fichiers à des applications à l'aide de Installation de logiciel . et en ajoutant des modifications aux logiciels déployés. Objectifs de la leçon À la fin de cette leçon. ! expliquer pourquoi il est utile d'associer des extensions de noms de fichiers à des packages de logiciels . Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 19 Leçon : Configuration du déploiement des logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Installation de logiciel dans la stratégie de groupe inclut des options de configuration de logiciels déployés. ! expliquer le rôle de l'ajout de modifications aux logiciels . en associant des extensions de noms de fichiers avec des applications. Vous pouvez déployer plusieurs configurations différentes d'une application et contrôler comment cette application est affectée ou publiée chaque fois que les fonctions d'un utilisateur changent. ! ajouter des modifications à un package de logiciels afin de permettre à différents groupes dans une organisation d'utiliser ce package de logiciels de différentes manières. Vous pouvez également simplifier la tâche de déploiement de logiciels en catégorisant les programmes répertoriés dans Ajouter ou supprimer des programmes. vous serez à même d'effectuer les tâches suivantes : ! expliquer le rôle des catégories de logiciels .

afin que les utilisateurs puissent trouver aisément les applications dans Ajouter ou supprimer des programmes du Panneau de configuration. Les utilisateurs peuvent alors choisir dans les catégories quelles applications installer dans Ajouter ou supprimer des programmes. Vous les définissez requises une seule fois pour toute une forêt. Windows Server 2003 est fourni sans catégories de logiciels prédéfinies. Vous pouvez répertorier des packages sous plusieurs catégories. telles que Graphiques. Étendue et conditions Les catégories de logiciels recouvrent plusieurs domaines. vous pouvez organiser les logiciels en catégories. . Vous pouvez utiliser la même liste de catégories de logiciels dans toutes les stratégies dans la forêt. Microsoft Office et Comptabilité. Pourquoi créer des Vous pouvez créer des catégories de logiciels pour regrouper différentes catégories de logiciels applications sous un en-tête spécifique. Au lieu de vous en remettre à une liste alphabétique des applications disponibles par défaut. La catégorisation des applications exige tout d'abord la création d'une catégorie. puis l'affectation des applications à la catégorie.20 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Définition des catégories de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Vous utilisez des catégories de logiciels pour organiser des logiciels affectés et publiés en groupes logiques.

Dans le volet de détails. Dans l'onglet Catégories. puis sur OK. Dans l'onglet Catégories. Procédure de création Pour créer une catégorie. cliquez avec le bouton droit sur Installation logicielle. Dans la zone Catégorie. affectez une ou plusieurs catégories au package de logiciels en cliquant sur la catégorie dans la liste Catégories disponibles. Créez ou éditez un objet Stratégie de groupe. procédez comme suit : d'un package de logiciels à une catégorie 1. Dans l'arborescence de la console. 3. puis cliquez sur Installation logicielle. 3. Créez ou éditez un objet Stratégie de groupe contenant le package de logiciels à catégoriser. tapez le nom de la catégorie puis cliquez deux fois sur OK. développez Paramètres du logiciel. . cliquez avec le bouton droit sur le package de logiciels. 4. ou que vous le publiez auprès d'utilisateurs). 4. puis cliquez sur Propriétés. Sous Configuration utilisateur ou Configuration ordinateur (selon que vous affectez le logiciel à des utilisateurs ou des ordinateurs. cliquez sur Ajouter pour entrer une nouvelle catégorie. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 21 Création de catégories de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction La catégorisation des logiciels exige tout d'abord la création d'une catégorie de logiciels. 2. puis cliquez sur Package. développez Paramètres du logiciel. procédez comme suit : d'une catégorie 1. cliquez ensuite sur Sélectionner. 2. Procédure d'affectation Pour affecter un package de logiciels à une catégorie. puis l'affectation de logiciels à la catégorie.

Ainsi. Les administrateurs ne peuvent contrôler le contenu de cette liste. Vous devez ajuster les priorités de l'extension pour chaque département de sorte que le traitement de texte préféré est installé lorsque l'utilisateur active un document. si vous définissez Word 2002 comme l'application par défaut pour un objet Stratégie de groupe. mais ces deux applications utilisent l'extension de fichier .22 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Définition de l'association de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Pour déterminer quels logiciels les utilisateurs installent lorsqu'ils sélectionnent un fichier. Étendue Vous gérez des associations d'application en fonction de chaque objet Stratégie de groupe. . Pourquoi associer des Un ordinateur client gère une liste des extensions et des applications extensions aux enregistrées qui utilisent ces extensions. ce ne sera le cas que pour les utilisateurs dans cet objet Stratégie de groupe. vous pouvez choisir une extension de nom de fichier et configurer une priorité d'installation des applications associées à l'extension. Chaque traitement de texte peut être utilisé dans un département différent. mais ils peuvent déterminer la priorité d'installation ou de démarrage des applications lors d'une activation de document. Exemple Par exemple.doc. il se peut que votre organisation ait besoin d'utiliser à la fois Microsoft Word 2000 et Word 2002. Windows Installer utilise cette liste pour installer une application. Lorsqu'un utilisateur double-clique sur applications ? un type de fichier inconnu. La modification de l'ordre de priorité dans un objet Stratégie de groupe n'affecte que les utilisateurs auxquels l'objet Stratégie de groupe s'applique.

Important Vous ne pouvez pas créer de nouvelles associations de noms de fichier dans Installation de logiciel. Windows Installer interroge Active Directory concernant cette association. procédez comme suit : 1. Lorsque vous définissez des ordres de priorité d'applications pour les extensions. . Procédure Pour modifier l'ordre de priorité pour une application. dans l'onglet Extensions de fichiers. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 23 Comment associer les extensions de noms de fichiers à des applications ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Lorsque vous déployez des logiciels à l'aide de la stratégie de groupe. sélectionnez une extension dans la liste déroulante. Dans la boîte de dialogue Propriétés de installation de logiciel. 3. 2. puis Paramètres du logiciel. Active Directory crée une liste des extensions de noms de fichiers qui sont associés à l'application. puis cliquez sur Propriétés. En fonction des associations intégrées des applications déployées. Développez Configuration utilisateur. Ouvrez l'objet Stratégie de groupe que vous avez utilisé pour déployer l'application. vous ne pouvez définir un ordre de priorité que pour les applications auxquelles plusieurs extensions sont associées. cliquez avec le bouton droit sur Installation de logiciel.

Par exemple. Sous Priorité de l'application.doc à Word 2002 à moins d'avoir déployé Word 2002 à l'aide de la stratégie de groupe. cliquez sur Monter ou Descendre pour définir l'ordre de priorité pour l'extension que vous avez sélectionnée. La première application répertoriée dans Windows Installer est celle qu'il installe si un document portant l'extension sélectionnée est appelé avant que l'application n'ait été installée. vous ne pouvez pas associer l'extension .24 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 4. . Remarque Vous ne pouvez associer des types de document qu'avec des applications que vous avez déployées à l'aide de la stratégie de groupe.

. Vous pouvez utiliser des modifications de logiciels.msi associé. Pourquoi ajouter des Le déploiement de plusieurs configurations d'une application permet à modifications ? différents groupes dans votre organisation d'utiliser un package de logiciels de différentes manières. ou fichiers .mst (appelés aussi fichiers de transformation). vous exécuteriez l'Assistant d'installation personnalisée d'Office XP à partir du Kit de ressources techniques d'Office pour créer le fichier de transformation. exécutez l'Assistant d'installation personnalisée.msi par défaut pour chaque département.msi sur lequel baser les transformations. Windows Installer applique des modifications aux packages selon l'ordre que vous spécifiez. Plutôt que de configurer manuellement l'installation de chaque département. Un fichier . Vous devez déterminer l'ordre d'application des fichiers de transformation avant d'affecter ou de publier l'application. Dans cet exemple. puis choisissez le fichier . vous pouvez utiliser différents objets Stratégie de groupe et fichiers . pour déployer plusieurs configurations d'une application. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 25 Définition de la modification de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Des modifications sont associées au package Windows Installer au moment du déploiement plutôt que lorsque Windows Installer utilise le package pour installer ou modifier l'application. Pour enregistrer les modifications dans un fichier . mais que les besoins des divers départements pour la suite Office varient considérablement dans l'organisation. Exemple Supposons qu'une grande entreprise souhaite déployer Microsoft Office XP.mst est un package de logiciels personnalisés qui modifie la manière dont Windows Installer installe le package .mst.mst en combinaison avec les fichiers . afin de déployer plusieurs configurations d'Office XP.

vous devez désinstaller le package ou le mettre à niveau avec une version correctement configurée. Pour modifier la liste. Ouvrez la boîte de dialogue Propriétés pour le package de l'application. vous affectez ou publiez immédiatement le package. cliquez sur une modification. cliquez sur Ajouter.26 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Comment ajouter des modifications à un package de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Vous ne pouvez ajouter et supprimer de modifications que lors du déploiement initial d'un package de logiciels. 2. procédez comme suit : 1. Windows Installer applique les modifications en fonction de l'ordre que vous spécifiez dans la liste Modifications. Vous pouvez également ajouter plusieurs modifications. sélectionnez le chemin et le nom du fichier de modification (. cliquez sur Ouvrir. Lorsque vous cliquez sur OK. Si vous ne configurez pas correctement les modifications. Important Ne cliquez pas sur OK avant d'avoir terminé la configuration des modifications. Dans l'onglet Modifications. puis sur OK. Le fichier de transformation doit exister avant que vous ne tentiez d'ajouter une modification à un package que vous déployez. puis cliquez sur Monter ou Descendre. . 3.mst). Dans la boîte de dialogue Ouvrir. Procédure Pour ajouter des modifications à un package de logiciels.

afin que le personnel comptable puisse trouver rapidement les applications dont il a besoin. Comme tout le personnel comptable n'a pas besoin de toutes les applications comptables. 2. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser. Ouvrez Gestion des stratégies de groupe sous Votre_Domaine\Administrateur à l'aide de Exécuter en tant que. éditez l'objet Stratégie de groupe Practice Software Deployment pour créer une catégorie de logiciels appelée Comptabilité. Sélectionnez la catégorie Comptabilité pour le logiciel COSMO1 que vous avez publié dans l'objet Stratégie de groupe Practice Software Deployment. Dans Gestion des stratégies de groupe. puis affecter un objet Stratégie de groupe de logiciels à cette catégorie. Vous avez décidé de créer une catégorie de logiciel appelée Accounting (Comptabilité). Application pratique ! Configuration du déploiement des logiciels 1. vous allez créer une catégorie de logiciels. 4. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 27 Application pratique : Configuration du déploiement des logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Objectifs Dans cette application pratique. Scénario Northwind Traders déploie un grand nombre d'applications spécifiques au groupe Comptabilité. . 3. vous avez décidé de publier les applications plutôt que de les affecter.

! décrire les options de redéploiement de logiciels . ! décrire les options de suppression des logiciels déployés . Windows Server 2003 comporte trois options pour la maintenance de logiciels : mise à niveau des versions des logiciels. redéploiement de logiciel et suppression de logiciel. Objectifs de la leçon À la fin de cette leçon. ! mettre à niveau des logiciels déployés à l'aide de la stratégie de groupe . ! redéployer des logiciels à l'aide de la stratégie de groupe . vous serez à même d'effectuer les tâches suivantes : ! décrire les options de mise à niveau des logiciels déployés . ! supprimer des logiciels déployés à l'aide de la stratégie de groupe.28 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Leçon : Maintenance des logiciels déployés ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Après avoir déployé des logiciels. . il peut être nécessaire de les modifier afin d'assurer la maintenance ou la mise à niveau des logiciels des utilisateurs pour que ceux-ci disposent de la version la plus à jour.

! Une organisation décide d'utiliser le logiciel d'un autre fournisseur. citons pour exemple : ! Une nouvelle version du logiciel vient de sortir comportant des nouvelles fonctionnalités améliorées. ! Des correctifs et des améliorations fonctionnelles ou liées à la sécurité ont été apportés depuis la dernière version du logiciel.0 du logiciel. Méthodes de mise Il existe trois types de mises à niveau : à niveau ! Mises à niveau obligatoires. et la version 2. cette version est supprimée. de nombreux fichiers changent dans le cadre d'une mise à niveau. si les utilisateurs se servent actuellement de la version 1. Objectif des mises Plusieurs événements dans le cycle de vie d'une application peuvent imposer à niveau une mise à niveau. . Vous pouvez utiliser la stratégie de groupe pour déployer et gérer des mises à niveau de logiciels afin de répondre aux besoins des divers départements dans votre organisation. Les mises à niveau entraînent généralement des modifications importantes des logiciels et possèdent de nouveaux numéros de version. Par exemple. Ces mises à niveau remplacent automatiquement une version ancienne du logiciel par une version mise à niveau. Généralement. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 29 Types de mises à niveau de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Les tâches dans une organisation sont variées et peuvent changer.0 du logiciel est installée lors du prochain démarrage de l'ordinateur ou d'ouverture de session par l'utilisateur.

0. et créer les packages de logiciels appropriés dans ces objets Stratégie de groupe. . les utilisateurs peuvent déterminer s'ils veulent passer à la version 2. Par exemple. vous pouvez créer plusieurs objets Stratégie de groupe s'appliquant aux utilisateurs qui ont besoin de la mise à niveau. Ces mises à niveau permettent aux utilisateurs de décider quand mettre leur version à niveau.30 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe ! Mises à niveau facultatives.0 du logiciel ou continuer à utiliser la version 1. Si certains utilisateurs ont besoin d'une mise à niveau mais pas tous. ! Mises à niveau sélectives.

2. Sélectionnez le type de mise à niveau : • Pour exécuter une mise à niveau obligatoire. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 31 Mise à niveau des logiciels déployés ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Vous utiliserez Installation de logiciel pour établir la procédure de mise à niveau d'un logiciel existant vers la version actuelle. cochez la case Mise à niveau nécessaire pour les packages existants. puis sélectionnez la version précédente (en cours) de l'application. puis cliquez sur Propriétés. cliquez sur Ajouter. puis installer le package de mise à niveau. puis cliquez sur OK. puis cliquez sur OK. Dans la boîte de dialogue Propriétés. • Pour exécuter une mise à niveau facultative. Procédure Pour déployer une mise à niveau. Ouvrez Installation de logiciel. cette étape est exécutée automatiquement. cliquez avec le bouton droit sur la nouvelle version. puis cliquez sur OK. 4. ne cochez pas la case Mise à niveau nécessaire pour les packages existants. Déployez la nouvelle version du logiciel. dans l'onglet Mises à niveau. 5. 3. procédez comme suit : 1. dans la section Packages qui seront mis à niveau par ce package. Vous pouvez mettre une application à niveau à l'aide de l'objet Stratégie de groupe en cours ou en sélectionnant un objet Stratégie de groupe spécifique. Cliquez sur le Package peut mettre à niveau le package existant ou sur Désinstaller le package existant. . Si les deux versions du logiciel sont des packages Windows Installer natifs.

! Lorsque vous affectez un logiciel à un ordinateur. Méthodes de Lorsque vous marquez un fichier package pour redéploiement. La prochaine fois que l'utilisateur démarre le logiciel. les raccourcis du Bureau et les paramètres de registre qui concernaient le logiciel sont mis à jour lors de la prochaine ouverture de session par l'utilisateur. ou en cas de problèmes d'interopérabilité ou de virus qu'une réinstallation du logiciel permettra de résoudre. l'un des trois scénarios suivants se produit : ! Lorsque vous affectez des logiciels à un utilisateur. Un redéploiement peut être nécessaire si le package de logiciels déployé précédemment est mis à jour mais conserve la même version. le menu Démarrer. Ensuite. les raccourcis du Bureau et les paramètres de registre qui concernaient les logiciels sont mis à jour lors de la prochaine ouverture de session par l'utilisateur. le menu Démarrer. le Service Pack ou la mise à niveau du logiciel est appliqué automatiquement. ! Lorsque vous publiez et installez le logiciel.32 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Fonctionnement du redéploiement de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Un Redéploiement est l'application de Service Packs et de mises à niveau de logiciels à des logiciels déployés. le logiciel redéploiement est publié auprès de chaque personne ayant reçu l'autorisation d'accéder à l'application. par affectation ou par publication. La prochaine fois que l'utilisateur démarre le logiciel. Vous pouvez redéployer un package déployé pour forcer une réinstallation du logiciel. . le Service Pack ou la mise à jour du logiciel est appliqué automatiquement. en fonction de la manière dont le package original avait été déployé. le Service Pack ou la mise à niveau du logiciel est appliqué automatiquement lors du prochain démarrage de l'ordinateur.

procédez comme suit : 1. Remarque Pour obtenir des informations sur comment procéder à la mise à niveau de logiciels stockés sur les serveurs du réseau. Ouvrez Installation de logiciel.msi). pointez sur Toutes les tâches. vous ne pouvez pas redéployer le logiciel. Avant le redéploiement. Si ce n'est pas le cas. car seul le nouveau ficher de package contient des instructions pour le déploiement des nouveaux fichiers que contient le Service Pack ou la mise à niveau du logiciel. 3. recherchez l'article 226936 : « Corriger une installation de logiciel stockée sur un serveur réseau et déployée à l'aide de l'Installateur de logiciel Microsoft » sur la page Support en ligne du site Web de Microsoft à l'adresse http://support. 2. Procédure Pour redéployer un package de logiciels. cliquez sur Oui.com/default. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 33 Comment redéployer un logiciel ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Utilisez Installation de logiciel pour établir la procédure de redéploiement d'un package de logiciels. vérifiez que le service inclut un nouveau fichier de package Windows Installer (fichier .aspx?LN=FR&x=9&y=13. . cliquez avec le bouton droit sur le nom du fichier de package. Editez l'objet Stratégie de groupe qui avait déployé le logiciel à l'origine. 4. Dans la boîte de dialogue. Procurez-vous le Service Pack ou la mise à niveau du logiciel auprès du fournisseur de l'application et placez les fichiers dans les dossiers d'installation approprié.microsoft. puis cliquez sur Redéploiement des applications.

Vous pouvez forcer la suppression du logiciel concerné ou laisser aux utilisateurs l'option d'utiliser l'ancien logiciel. mais les utilisateurs peuvent encore l'utiliser. Méthodes de Il existe deux méthodes de suppression : suppression ! Suppression forcée. ils ne peuvent pas le réinstaller. La suppression a lieu avant que le Bureau n'apparaisse.34 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Méthodes de suppression de logiciels déployés ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Il peut être nécessaire de supprimer un logiciel si le support d'une version n'est plus assuré ou si les utilisateurs n'ont plus besoin du logiciel. ce qui a pour effet de le supprimer automatiquement d'un ordinateur lors du prochain démarrage de celui-ci ou lors de la prochaine ouverture de session d'un utilisateur — ce qui se produit dans le cas d'un paramètre de stratégie de groupe d'un utilisateur. . Le logiciel n'est pas réellement supprimé dans les ordinateurs. ! Suppression facultative. Vous pouvez supprimer le logiciel dans Installation de logiciel sans forcer sa suppression physique. Le logiciel n'apparaît plus dans Ajouter ou supprimer des programmes. Si les utilisateurs suppriment le logiciel manuellement. Vous pouvez forcer la suppression du logiciel.

Dans Installation de logiciel. 2. procédez comme suit : 1. Procédure Pour supprimer le logiciel déployé. Dans la boîte de dialogue Suppression de logiciel. • Autoriser les utilisateurs à continuer à utiliser le logiciel. • Désinstaller immédiatement le logiciel des utilisateurs et des ordinateurs. Remarque Vous devez vous assurer que les utilisateurs redémarrent leurs ordinateurs si la modification affecte l'ordinateur ou qu'ils ouvrent une session si la modification affecte l'utilisateur. puis cliquez sur Supprimer. Ouvrez l'objet Stratégie de groupe utilisé à l'origine pour déployer le logiciel. mais interdire de nouvelles installations. vous pouvez configurer un objet Stratégie de groupe pour supprimer un logiciel arrivé à expiration ou qui n'est plus requis par votre organisation. puis cliquez sur OK. pointez sur Toutes les tâches. cliquez avec le bouton droit sur le nom du package. Vous pouvez également supprimer un ancien logiciel en configurant l'objet Stratégie de groupe pour permettre aux utilisateurs de procéder à une mise à niveau facultative vers un nouveau package de logiciels. . Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 35 Suppression de logiciels déployés ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Lorsque vous utilisez la stratégie de groupe pour déployer des logiciels. cliquez sur l'une des options suivantes. 3.

MSI. éditez l'objet Stratégie de groupe Practice Software Deployment pour créer un nouveau package d'installation logicielle pour \London\Labfiles\Lab6\COSMO2\COSMO2. vous allez mettre à niveau le logiciel déployé puis le supprimer. 4. Ouvrez Gestion des stratégies de groupe sous Votre_Domaine\Administrateur à l'aide de Exécuter en tant que. 3. 5. Ouvrez une session sous Votre_Domaine\Administrateur. Vous devez déterminer les étapes nécessaires au déploiement de la mise à niveau d'une application. . 2. Supprimez le logiciel déployé Cosmo 1 parce que sa durée d'évaluation est parvenue à expiration. Application pratique ! Maintenance des logiciels déployés 1. Dans Gestion des stratégies de groupe. Définissez les propriétés du package Cosmo 2 pour mettre à niveau le package Cosmo 1. Scénario Vous testez la maintenance d'un logiciel déployé antérieurement.36 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Application pratique : Maintenance des logiciels déployés ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Objectifs Dans cette application pratique.

. Active Directory fait appel à la configuration correcte des services de réseau. vérifiez si les composants. Un élément important de la résolution des problèmes de stratégie de groupe est de tenir compte des dépendances entre composants. le déploiement de logiciels fait appel à la stratégie de groupe. Lorsque vous tentez de résoudre des problèmes dans un composant. ! résoudre des problèmes d'installation logicielle lors de l'utilisation de la stratégie de groupe. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 37 Leçon : Résolution des problèmes liés au déploiement de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Vous pouvez être confronté à des problèmes lorsque vous utilisez la stratégie de groupe pour déployer des logiciels. Objectifs de la leçon À la fin de cette leçon. Les journaux des événements peuvent vous aider à identifier des problèmes que ce type de dépendance hiérarchique peut entraîner. les services et les ressources auxquels ce composant fait appel fonctionnent correctement. ! déterminer la cause profonde d'un problème en exécutant quelques tests . vous serez à même d'effectuer les tâches suivantes : ! expliquer certains des problèmes courants susceptibles de se produire lors de l'utilisation de la stratégie de groupe pour le déploiement de logiciels . Par exemple. Il existe plusieurs méthodes pour vous aider à identifier ces problèmes et à les résoudre. laquelle fait appel à Active Directory.

38 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Problèmes courants liés à l'utilisation de la stratégie de groupe pour déployer des logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Certains problèmes courants peuvent survenir lorsque vous utilisez la stratégie de groupe pour le déploiement de logiciels. de filtrage de groupe de sécurité. que l'objet Stratégie de groupe est relié à un conteneur incorrect ou est partiellement ou totalement désactivé. mais que Word a été marqué pour suppression obligatoire dans un ordinateur. la stratégie d'ordinateur prend le pas sur la stratégie d'utilisateur. puis d'en interdire l'accès à l'utilisateur à un niveau inférieur (par exemple. de filtrage WMI . • L'objet Stratégie de groupe n'avait pas été appliqué. au niveau unité d'organisation). • L'application avait été affectée à des ordinateurs et. parce que les options Appliqué et Blocage de l'héritage sont activées. si Word avait été affecté à un utilisateur. Par exemple. au niveau domaine). . ou bien programmes des conflits de stratégie de groupe peuvent interdire son déploiement. dans la plupart des cas. L'identification des symptômes et des causes possibles constitue la première étape de la résolution de ces problèmes. l'utilisateur est membre d'un groupe de sécurité dont le filtrage lui permet d'éviter les effets de cet objet Stratégie de groupe. Les symptômes et leurs Le tableau suivant répertorie les symptômes et leurs causes possibles : causes possibles Symptôme Causes possibles Les applications n'apparaissent pas • L'application avait été affectée au lieu d'être publiée. l'utilisateur ne peut ouvrir Word lorsqu'il ouvre une session sur l'ordinateur. elle n'avait jamais été dans Ajouter ou supprimer des déployée ou elle l'avait été dans une unité d'organisation erronée. Il est possible d'affecter à un utilisateur une application à un niveau d'Active Directory (par exemple. Les raisons possibles sont les suivantes : L'objet Stratégie de groupe ne s'appliquait pas à l'utilisateur ou à l'ordinateur par suite d'un conflit et de priorité d'objet Stratégie de groupe. Par exemple.

Il est probable dans le menu Démarrer ou que le point de distribution de logiciels est inaccessible sur le serveur hôte dans Ajouter ou supprimer des ou que les utilisateurs affectés ne disposent pas des autorisations requises. Les applications apparaissent • Le point de distribution de logiciel est peut-être inaccessible. . programmes. n'avait jamais été dans le menu Démarrer déployée. mais ne peuvent Vérifiez que les utilisateurs disposent au moins de l'autorisation en Lecture être installées de NTFS pour le point de distribution de logiciel. • L'objet Stratégie de groupe n'avait pas été appliqué. ou déployée dans une mauvaise unité d'organisation. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 39 (suite) Symptôme Causes possibles Les applications n'apparaissent pas • L'application avait été publiée au lieu d'être affectée. • Des applications installées antérieurement peuvent empêcher l'installation de nouvelles applications.

déterminez l'objet Stratégie de groupe qui est appliqué à l'aide du Jeu de stratégies résultant (RSoP. net use * \Nom_Serveur\Nom_Partage Une unité mappée sur le point de distribution de logiciels sur le serveur destination apparaît. et créez le fichier journal Windows Installer. ou bien un message apparaît indiquant que le point de distribution de logiciels n'est pas disponible. Connexion au serveur à l'aide du chemin UNC menant au point de distribution de logiciels.msi. • Si le point de distribution de logiciels est disponible. . 2. Exécutez l'une des tâches suivantes : • Si le chemin du réseau n'est pas disponible. vous pouvez tester une installation manuelle pour vérifier que le fichier du package d'installation fonctionne comme prévu. Procédure de Avant d'utiliser cette procédure de diagnostic. vérifiez que le point de distribution de logiciels est accessible à partir du serveur hébergeant le dossier partagé et essayez de relancer l'installation. l'étape suivante consiste à déterminer la cause principale. installez manuellement le package . vérifiez que le point de vérification de distribution de logiciels est disponible pour exécuter les tâches suivantes : disponibilité du point de distribution de logiciels 1. Resultant Set of Policies). déterminez si le point de distribution de logiciels est disponible.40 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Comment déterminer la cause du problème ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Après avoir identifié la cause possible d'un problème. Par exemple. Pour ce faire.

sous Configuration utilisateur. Ouvrez Gestion de la stratégie de groupe. 2. Exécutez l'une des tâches suivantes : • Si l'installation manuelle réussit. L'utilisateur qui essaie d'installer le logiciel a besoin au moins des autorisations Lire pour installer l'application. Pour activer la journalisation dans Windows Installer. 3. puis cliquez sur Propriétés.msi Où lecteur représente le lecteur sur lequel réside le package d'installation. cliquez sur Installation de logiciel. Pour Stratégie de groupe déterminer le jeu de stratégies résultant. Procédure d'activation Lorsque vous activez la journalisation dans Windows Installer. Ces entrées fournissent des Installer informations utiles concernant le problème que vous rencontrez dans le cadre d'un déploiement de logiciel. L'origine de toutes les applications apparaît par rapport à l'objet Stratégie de groupe à partir duquel l'application avait été déployée. ainsi que son emplacement. MsiInstaller et Gestion des applications. puis cliquez sur Editer. 2. exécutez les tâches suivantes : est appliqué 1. l'option d'installation d'un package basé sur le chemin qui suit ce commutateur. puis cliquez sur Windows Installer. développez Modèles d'administration. vérifiez les paramètres d'autorisation pour le point de distribution de logiciels. 2. À l'aide de cette information. celui-ci crée de journalisation et par défaut des entrées dans le journal des événements de Windows. procédez manuelle du package comme suit : Windows Installer 1.msi est le fichier MSI du package d'installation pour l'application que vous installez et le commutateur /I. À l'invite de commande. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 41 Procédure d'installation Pour installer manuellement le package Windows Installer. package. développez Composants Windows. tapez msiexec /I lecteur:\Package. déterminez si les paramètres dans la chaîne d'héritage de l'objet Stratégie de groupe entraînent des problèmes d'installation de l'application. • Si l'installation manuelle échoue. vérifiez le paramètre d'installation logicielle de l'objet Stratégie de groupe pour vous assurer que l'utilisateur peut installer cette application et qu'aucune autre stratégie n'entre en conflit avec celle-ci. N'oubliez pas de supprimer manuellement l'application installée car il ne s'agit pas d'une application gérée. Les création du fichier événements que vous devez surveiller apparaissent sous les en-têtes Installation journal Windows de logiciel. cliquez avec le bouton droit sur l'objet Stratégie de groupe. Créez un Jeu de stratégies résultant à l'aide de l'Assistant Résultats de stratégie de groupe puis. sous Configuration ordinateur. procédez comme suit : 1. Dans l'éditeur de stratégie de groupe. Procédure pour Vous pouvez utiliser les résultats de la stratégie de groupe pour déterminer si déterminer si l'objet un objet Stratégie de groupe a été appliqué. . Cliquez avec le bouton droit sur Journalisation.

Vous pouvez ensuite consulter ce fichier journal avec toute visionneuse de texte. tel que le Bloc-notes. Avertissement Revenez à l'état normal de journalisation après avoir établi le diagnostic parce que la journalisation affecte considérablement les performances de l'ordinateur client.aspx?LN=FR&x=9&y=13. Où x est le niveau de journalisation. Remarque Pour plus d'informations sur les options disponibles pour la commande msiexcec.microsoft. procédez comme suit : ! Sur la ligne de commande.com/default. vous pouvez définir divers niveaux de journalisation pour vous aider à déterminer tout problème affectant l'installation logicielle. Le fichier journal est créé dans le dossier %windir% à moins d'indication contraire dans la ligne de commande. tapez msiexec /I <chemin_vers_le_package> /l[x] <chemin_vers_le_fichier_journal> et appuyez sur ENTRÉE. vous pouvez définir les options de journalisation pour Windows Installer. Vous pouvez utiliser les points de contrôle pour restaurer les systèmes des utilisateurs en un état antérieur en cas de problème avec l'installateur. . Pour créer un fichier journal.42 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Lors de l'exécution d'une installation manuelle. configurer les installations utilisateur et activer ou désactiver les points de contrôle de restauration du système. reportez-vous au Centre d'aide et de support. Remarque Dans cette fenêtre. Recherchez l'article 223300 : « Activation de l'enregistrement de Windows Installer » sur la page Support en ligne du site Web de Microsoft à l'adresse http://support.

Méthodes de résolution Pour résoudre un problème d'installation logicielle lors de l'utilisation de la stratégie de groupe : ! Modifiez l'objet Stratégie de groupe pour qu'il effectue une affectation au lieu d'une publication. ! Résolvez tout ce qui empêchait l'application de l'objet Stratégie de groupe. une modification pourrait entraîner la désinstallation de l'application sur les ordinateurs de ces anciens utilisateurs. si possible. Si l'objet Stratégie de groupe avait été appliqué à un jeu d'utilisateurs erroné. Envoyez-leur un message pour les en informer. . Vous pouvez utiliser RSoP pour déterminer pourquoi l'objet Stratégie de groupe n'avait pas été appliqué.exe pour supprimer dans le registre les composants des applications installées antérieurement qui empêchent l'installation de nouvelles applications. et inversement si une application avait été déployée de manière incorrecte. ! Utilisez MSIZap. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 43 Comment résoudre les problèmes d'installation logicielle lors de l'utilisation de la stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Après avoir identifié la cause principale d'un problème. à fournir une méthode alternative. ! Modifiez les autorisations sur le dossier partagé ou sur les fichiers NTFS pour permettre un accès en lecture (Lire) aux utilisateurs ou aux ordinateurs installant l'application. la dernière étape consiste à remédier au problème ou.

Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser. éditez l'objet Stratégie de groupe Practice Software Deployment pour créer un fichier journal Windows Installer pour cet objet Stratégie de groupe. Ouvrez Gestion des stratégies de groupe sous Votre_Domaine\Administrateur à l'aide de Exécuter en tant que. Application pratique ! Créer un fichier journal Windows Installer 1. Dans Gestion des stratégies de groupe. 3. vous allez créer un fichier journal Windows Installer. Scénario Northwind Traders est confronté à des problèmes avec une application critique déployée à l'aide de la stratégie de groupe. . 2.44 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Application pratique : Résolution des problèmes liés au déploiement de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Objectifs Dans cette application pratique. Votre responsable vous a demandé de déterminer la cause des problèmes.

. ! expliquer les instructions de planification de la maintenance des logiciels. Objectifs de la leçon À la fin de cette leçon. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 45 Leçon : Planification d'une stratégie de déploiement de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Lorsque vous planifiez un déploiement de logiciel. ! expliquer les instructions de planification d'un déploiement de logiciels à l'aide de la stratégie de groupe . examinez les besoins logiciels de l'organisation pour toute la structure Active Directory et les objets Stratégie de groupe existants. Vous devez disposer d'un plan de déploiement de logiciel avant de commencer le déploiement. vous serez à même d'effectuer les tâches suivantes : ! expliquer les instructions de planification des points de distribution de logiciels . Déterminez les méthodes que vous utiliserez pour déployer le logiciel.

publiées ou affectées. Wide Area Network) lentes. En implémentant une combinaison des instructions suivantes. Un emplacement par défaut pour les packages vous permet de déployer de nouveaux packages vers un point de distribution de logiciels. vous minimiserez le nombre de problèmes et de méthodes de dépannage lorsque des problèmes de déploiement surviendront. DFS fournit un point de distribution de logiciels centralisé pour toutes les applications. la maintenance d'une seule source comme référentiel de logiciels vous permet de suivre les problèmes plus aisément. vous devez décider si votre organisation utilisera une approche centralisée pour le déploiement de logiciels. Tirez profit des fonctionnalités de redondance et d'équilibrage de charge de DFS. Par ailleurs.46 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Instructions de planification des points de distribution de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Avant de créer des points de distribution de logiciels pour permettre aux utilisateurs d'installer des logiciels. . ! Spécifiez un emplacement par défaut pour les packages. Instructions Appliquez les instructions suivantes lorsque vous envisagez de créer des points de distribution de logiciels : ! Utilisez un système de fichiers DFS (Distributed File System) basé sur un domaine pour les points de distribution de logiciels. Créez dans chaque site un réplica de DFS pour le point de distribution de logiciels. ce qui réduira le trafic réseau entre des liaisons de réseau étendu (WAN. Les ordinateurs clients tenteront ensuite d'installer les logiciels déployés à partir d'un réplica de DFS dans leur propre site. à partir duquel de nombreux utilisateurs installeront les applications. Utilisez cet emplacement pour pointer sur le point de distribution de logiciels unique dans lequel se trouvent les fichiers de package.

! Procédez à l'audit d'accès aux objets pour les fichiers Windows Installer. ! Utilisez un dossier partagé caché. reportez-vous à l'annexe C. Utilisation de DFS. ! Configurez les autorisations NTFS. Remarque Pour plus d'informations sur DFS. utilisez packages$ si vous souhaitez réduire la probabilité d'installation manuelle du package par les utilisateurs en utilisant le dossier partagé. par exemple. Créez. Essayez d'utiliser des noms de dossiers qui soient cohérents avec les catégories de logiciels pour les applications. Créez sous ce dossier Outils graphiques un dossier pour chaque application graphique que vous envisagez de déployer. .Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 47 ! Organisez les applications par fonction. Utilisez l'autorisation Lecture seule pour les utilisateurs et Contrôle total pour les administrateurs de ces fichiers. un dossier Outils graphiques dans le dossier partagé Distribution de logiciels. Une organisation fonctionnelle simplifie la localisation des applications lorsque vous créez des stratégies de logiciels. Par exemple. sur le CD-ROM du stagiaire. Vous pouvez vérifier les autorisations utilisateurs ou groupes d'accès à ces fichiers.

La création anticipée d'options communes d'installation par défaut réduit le risque que les utilisateurs n'installent le package générique avant que le fichier de transformation ne soit créé. Créez. par exemple. Il contribue aussi à réduire le trafic réseau et la charge sur les serveurs des points de distribution de logiciels en échelonnant les demandes d'installation émanant des utilisateurs.48 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Instructions de planification d'un déploiement de logiciels à l'aide de la stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Tenez compte des instructions suivantes lorsque vous planifiez votre déploiement de logiciels à l'aide de la stratégie de groupe. les catégories d'applications Ventes et Comptabilité. Avant d'assurer à tous les utilisateurs la disponibilité des fichiers package. . N'oubliez pas d'utiliser les commentaires des utilisateurs pilotes afin de rationaliser et d'améliorer votre processus de déploiement. ! Classez les applications pour votre organisation. Déterminez si vous avez besoin de ces fichiers de modification de logiciels. ! Utilisez autant que possible des fichiers de transformation pour les packages. établissez des options communes d'installation par défaut pour des groupes d'utilisateurs spécifiques et utilisez la modification de logiciels pour fournir à ces groupes une installation personnalisée. Vous pouvez placer une application dans plusieurs catégories. selon les cas. déployez-les en plusieurs phases ou bien auprès d'un groupe d'utilisateurs pilotes. Instructions Appliquez les instructions suivantes : ! Déployez les fichiers package en plusieurs phases. Avant de procéder au déploiement du package générique dans toute l'organisation. Utilisez des catégories permettant aux utilisateurs de trouver facilement une application dans Ajouter ou supprimer des programmes. Un déploiement graduel associé à des tests vous aide à identifier et à résoudre les problèmes liés aux packages avant de procéder au déploiement généralisé d'une application dans une organisation.

Après qu'une décision a été prise. Configurez en conséquence l'ordre de priorité des extensions. Créez et reliez à ce conteneur l'objet Stratégie de groupe qui déploie ce package de logiciels. Comme les paramètres de stratégie de groupe s'appliquent par défaut aux conteneurs Active Directory enfants.Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 49 ! Déterminez les conflits potentiels dans les extensions de noms de fichiers. il est efficace d'affecter ou de publier des logiciels en reliant un objet Stratégie de groupe à un domaine ou à une unité d'organisation parent. Ces conflits surviennent lorsque plusieurs applications tentent d'enregistrer la même extension. . Déterminez les conflits parmi les applications que vous avez installées à l'aide de la stratégie de groupe et parmi celles installées à l'aide d'autres méthodes. ! Déployez les logiciels à un niveau élevé dans la hiérarchie Active Directory. Déterminez le conteneur de niveau le plus élevé regroupant les utilisateurs et les ordinateurs auprès desquels vous envisagez de déployer l'application. n'oubliez pas de la documenter afin de vous permettre de résoudre rapidement les conflits d'extensions ultérieurement. Il vaut mieux prendre cette décision à un niveau de l'organisation permettant de garantir que le plan répond à tous les besoins de l'organisation.

ce que les utilisateurs préfèrent. déterminez une période de transition appropriée pendant laquelle les deux versions sont disponibles. Si l'application est petite. . appliquez-la à un petit nombre d'utilisateurs ou d'ordinateurs. Instructions Appliquez les instructions suivantes : ! Déterminez s'il est préférable de déployer la mise à jour graduellement. rendez-la obligatoire.50 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Instructions de planification de maintenance de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Introduction Tenez compte des instruction suivantes lorsque vous planifiez la maintenance de logiciels à l'aide de la stratégie de groupe. Si la mise à niveau est critique. Si vous ne souhaitez pas prendre en charge plusieurs versions d'une application. mais constitue également un système d'alerte précoce si un problème se produit durant la mise à niveau. Ainsi. Dans le cas contraire. rendez-la facultative. Durant cette période. une mise à niveau graduelle est effectuée sur la base du volontariat. alors que seul un sous-ensemble d'utilisateurs ou d'ordinateurs est affecté. appliquez-la immédiatement à tous les utilisateurs et ordinateurs. ! Déterminez si la mise à niveau sera obligatoire ou facultative. S'il s'agit d'une mise à jour critique. ou rapidement vers tous les utilisateurs et ordinateurs. Cela réduit non seulement la charge sur les serveurs des points de distribution de logiciels et sur le réseau. Envisagez d'exécuter un déploiement graduel lorsque la mise à jour n'est pas critique et que l'application est volumineuse et s'applique à de nombreux utilisateurs et ordinateurs. utilisez la mise à niveau facultative puis rendez-la obligatoire à la fin de la période de transition.

Application des mêmes autorisations au dossier NTFS. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 51 Application pratique : Planification d'une stratégie de déploiement de logiciels ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Objectifs Dans cette application pratique. Elle a acquis plusieurs applications graphiques et une licence de site pour l'Application 1. affectation des autorisations Lire aux utilisateurs authentifiés. et Contrôle total aux administrateurs du domaine. vous allez déterminer un plan de déploiement d'une application pour tous les utilisateurs et un plan de publication d'une application. • Application à l'objet Stratégie de groupe afin d'authentifier les utilisateurs et leur affecter l'objet Stratégie de groupe. Vous devez planifier une stratégie de déploiement de logiciels afin de déployer les applications vers tous les utilisateurs. • Pour le point de distribution de logiciels. Application pratique ! Planifier une stratégie de déploiement des logiciels 1. Qu'allez-vous inclure dans votre plan ? Les réponses varient. ____________________________________________________________ ____________________________________________________________ . Scénario Votre organisation vient de développer récemment son marché dans le secteur graphique. Votre plan peut inclure : • Affectation de l'Application 1 à un objet Stratégie de groupe au niveau du domaine.

. utiliser l'option Désinstaller si cet objet Stratégie de groupe n'est plus applicable. • Création des objets Stratégie de groupe dans une unité d'organisation dédiée afin de les regrouper ensemble. Fabrikam. Comme vous devrez peut-être supprimer ultérieurement le logiciel. dans l'espoir que vous achèterez une licence de site. Votre plan peut inclure : • Création d'un point de distribution de logiciels pour le stockage de toutes les applications d'évaluation. comment envisagez-vous de publier l'application ? Les réponses varient. Une autre société de graphisme. vous a confié à des fins de tests dans votre entreprise des copies d'évaluation de sa suite graphique. Afin d'éviter toute intrusion vis à vis vos utilisateurs.52 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 2. ____________________________________________________________ ____________________________________________________________ . Inc.

Durée approximative de cet atelier : 60 minutes . ! connaître le processus d'installation logicielle. ! publier des logiciels à des utilisateurs à l'aide de la stratégie de groupe . Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 53 Atelier A : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR******************** Objectifs À la fin de cet atelier. Conditions préalables Avant de travailler sur cet atelier. vous devez : ! posséder les connaissances et compétences requises pour créer des objets Stratégie de groupe . ! être familiarisé avec l'utilisation des outils de ligne de commande . ! supprimer des logiciels déployés à l'aide de la stratégie de groupe . ! mettre à niveau des logiciels déployés à l'aide de la stratégie de groupe. vous serez à même d'effectuer les tâches suivantes : ! affecter des logiciels à des utilisateurs à l'aide de la stratégie de groupe .

Vous utiliserez votre contrôleur de domaine attitré pour créer les objets Stratégie de groupe requis pour la prise en charge de l'installation du logiciel. Utilisez Exécuter en tant que pour démarrer la stratégie de sécurité du le droit d'ouvrir une session contrôleur de domaine sous Votre_Domaine\Administrateur avec le localement. Accordez à Suzanne Duprez le droit d'ouvrir une session localement. Créer un objet Stratégie de a. Votre tâche consiste à comparer les deux méthodes disponibles pour l'installation de l'application : affectation de logiciel et publication de logiciel. domaine c. Accorder à Suzanne Duprez a. mot de passe P@ssw0rd. vous préparerez votre contrôleur de domaine à héberger le logiciel que vous installerez au moyen d'une stratégie de groupe. Créez l'objet Stratégie de groupe Lab Software Deployment et reliez-le à l'unité d'organisation HR sous l'unité d'organisation Nom_Ordinateur dans Votre_Domaine. Exécutez gpupdate sous Votre_Domaine\Administrateur. Utilisez le package Cosmo1. package d'installation du b. Tâches Instructions spécifiques 1. b. c.msi situé sur \LONDON\Labfiles\Lab6\COSMO1. Scénario Northwind Traders a décidé d'utiliser l'installation logicielle pour déployer l'application Cosmo 1 qu'elle vient d'acquérir. . d. Utilisez Exécuter en tant que pour démarrer la gestion de la stratégie logiciel Cosmo 1 à l'unité de groupe sous Votre_Domaine\Administrateur avec le mot de passe d'organisation Sales de votre P@ssw0rd.54 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Exercice 1 Affectation de logiciel Dans cet exercice. 2. Ouvrez une session sous le nom Nwtradersx\Nom_OrdinateurUser groupe pour affecter le avec le mot de passe P@ssw0rd.

Tâches Instructions spécifiques 1. en tant que suzannedup à partir de votre domaine Cosmo 1 apparaît-il dans le menu Tous les programmes ? Expliquez pourquoi. Vous ouvrirez une session en tant qu'utilisateur test et vérifierez si le logiciel attribué à l'exercice précédent est installé. 2. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 55 Exercice 2 Vérification de l'affectation du logiciel Dans cet exercice. puis ouvrez-en une sous le nom Suzanne Duprez ouvrir une nouvelle session à partir de votre domaine en utilisant le mot de passe P@ssw0rd. Ouvrir le package de logiciels à partir de l'élément du menu Tous les programmes que vous avez créé pour lui. Fermer la session. puis " Fermez votre session. Que se passe-t-il lorsque vous tentez d'ouvrir le logiciel ? . vous devez vérifier que l'affectation de logiciel s'est déroulée normalement.

b. c.56 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Exercice 3 Suppression d'un logiciel affecté Dans cet exercice. Vérifiez que l'application a été supprimée immédiatement pour les utilisateurs et les ordinateurs. Vous pouvez désormais évaluer l'option de publication à l'aide de ce même package. Ouvrez une session sous le nom Nwtradersx\Nom_ OrdinateurUser Cosmo 1 avec le mot de passe P@ssw0rd. Utilisez la commande Exécuter en tant que pour démarrer la console Gestion des stratégies de groupe en tant que Votre_Domaine\Administrateur avec le mot de passe P@ssw0rd. d. puis ouvrez-en une sous le nom Suzanne Duprez à partir de votre domaine en utilisant le mot de passe P@ssw0rd. Tâches Instructions spécifiques " Supprimer l'application a. Fermez votre session. vous supprimerez le logiciel affecté dans l'exercice précédent. Vous avez mené à bien le déploiement du logiciel en affectant un package à des utilisateurs. . Vous devez supprimer le logiciel pour pouvoir créer un package en vue de publier l'application.

ouvrez une session avec le mot de passe P@ssw0rd 2. vous modifierez une stratégie de groupe pour publier une application. Tâches Instructions spécifiques 1. Naviguer jusqu'à votre stratégie de déploiement de logiciel et édition de la stratégie. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 57 Exercice 4 Publication de logiciel Dans cet exercice. Utilisez Exécutez en tant que. la publication du package Cosmo 1. stratégies de groupe. Vous publierez un logiciel dans le but de mieux appréhender les différences entre la publication et l'affectation d'un logiciel. 3. Créer un package " Dans le point de distribution de logiciel de l'instructeur où se trouve le d'installation logicielle pour package.msi. Lorsque vous y serez invité. . Ouvrir Gestion des a. cliquez sur Cosmo1. b.

nom Suzanne Duprez à partir de votre domaine. vous vérifierez que le logiciel publié dans l'exercice précédent est installé et fonctionne normalement.58 Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe Exercice 5 Vérification de la publication du logiciel Dans cet exercice. Ouvrir une session sous Votre_Domaine\ ComputerNameUser. Installer le logiciel publié. 2. " Dans le Panneau de configuration. utilisez Ajouter ou supprimer des programmes. Tâches Instructions spécifiques 1. vérifiez l'installation de a été installé. Vérifier que le logiciel publié " Dans le menu Tous les programmes. Ouvrir une session sous le " Utilisez le mot de passe P@ssw0rd. Cosmo 1. 3. Vous ouvrirez une session en tant qu'utilisateur test et vérifierez les paramètres de publication du logiciel définis à l'exercice 4. Cosmo 1 est-il listé dans Ajouter ou supprimer des programmes ? Pourquoi (pas) ? . L'application est-elle installée pour cet utilisateur ? Expliquez pourquoi. 4.

Lorsque vous utiliserez la stratégie de groupe. Vérifier la mise à niveau de a. b. Mettre à niveau de a. Northwind Traders a acquis une mise à niveau pour l'application Cosmo. Tous les ordinateurs doivent être mis à niveau vers la dernière version de ce logiciel. Vous êtes responsable de la stratégie de groupe en termes de réponse aux besoins de l'entreprise. vous mettrez à niveau le logiciel déployé en modifiant la stratégie de groupe. Tâches Instructions spécifiques 1. nouvelle application. b. vous remarquerez qu'il n'est pas nécessaire de mettre manuellement à niveau chaque utilisateur ou ordinateur. Editez la stratégie de déploiement de logiciel pour créer un package de mise à niveau. Vérifiez que l'application existante est supprimée avant d'installer la Cosmo 1. La direction aimerait que vous pilotiez la mise à niveau du logiciel afin de s'assurer que vous pouvez résoudre tout problème survenant durant le processus avant de déployer le logiciel dans toute l'organisation. Module 6 : Déploiement et gestion des logiciels à l'aide d'une stratégie de groupe 59 Exercice 6 Mise à niveau d'un logiciel déployé Dans cet exercice. 2. Vérifiez que Cosmo 2 a remplacé Cosmo 1. Utilisez Exécuter en tant que pour ouvrir Gestion des stratégies Cosmo 1. . de groupe.

THIS PAGE INTENTIONALLY LEFT BLANK .

Module 7 : Implémentation de sites pour gérer la réplication Active Directory Table des matières Vue d'ensemble 1 Leçon : Présentation de la réplication Active Directory 2 Leçon : Création et configuration de sites 15 Leçon : Gestion de la topologie de site 30 Leçon : Résolution des échecs de réplication 38 Leçon : Planification d'un site 51 Atelier A : Implémentation de sites pour gérer la réplication Active Directory 63 .

Les informations contenues dans ce document. pourront faire l'objet de modifications sans préavis. aucune partie de ce manuel ne peut être reproduite. aux États-Unis d'Amérique et/ou dans d'autres pays.  2003 Microsoft Corporation. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son pays. ou transmise à quelque fin ou par quelque moyen que ce soit (électronique. Les autres noms de produit et de société mentionnés dans ce document sont des marques de leurs propriétaires respectifs. Active Directory. Active X. Visual Basic. lieux et événements existants ou ayant existé serait purement fortuite. enregistrement ou autre). notamment les adresses URL et les références à des sites Web Internet. de dépôts de brevets en cours. de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. les adresses de messagerie. Tous droits réservés. les noms de domaines. droits d'auteur ou autres droits de propriété intellectuelle. MSDN. les logos. stockée ou introduite dans un système d'extraction. Sauf mention contraire. sans la permission expresse et écrite de Microsoft Corporation. photocopie. les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés. noms de domaines. Visual C++ et Windows Media sont soit des marques de Microsoft Corporation. Sans limitation des droits d'auteur. Microsoft. les produits. Visio. marques. de marques. les personnes. MS-DOS. produits. logos. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft. la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets. soit des marques déposées de Microsoft Corporation. personnes. . PowerPoint. adresses de messagerie. Les produits mentionnés dans ce document peuvent faire l'objet de brevets. mécanique. Windows. Windows NT. les sociétés.

! lire le livre blanc. Active Directory in Networks Segmented by Firewalls (en anglais). Module 7 : Implémentation de sites pour gérer la réplication Active Directory iii Notes de l'instructeur Présentation : Ce module permet aux stagiaires d'acquérir les compétences et connaissances 165 minutes requises pour implémenter des sites. ! gérer une topologie de site Active Directory .swf Important Il est recommandé d'utiliser PowerPoint 2002 ou une version ultérieure pour afficher les diapositives de ce cours. Ces concepts sont les suivants : la création. ! lire le chapitre 3. . vous devez effectuer les tâches suivantes : ! lire tous les documents de cours relatifs à ce module . puis gérer et contrôler la réplication au sein du service d'annuaire Active Directory® dans Microsoft® Atelier : Windows Server™ 2003. ! réaliser l'atelier .ppt ! Fichier Macromedia Flash 2194A_2279a_08_a_repwithin. ! contrôler et résoudre les échecs de réplication Active Directory . les stagiaires seront à même d'effectuer les tâches suivantes : ! décrire les composants et le processus de la réplication . Si vous utilisez la Visionneuse PowerPoint ou une version antérieure de PowerPoint. ! planifier une stratégie de site. le contrôle et la résolution des échecs de réplication . À la fin de ce module. anticiper les questions que les stagiaires sont susceptibles de poser et préparer des réponses appropriées pour chacune de ces questions . Préparation Pour préparer ce module. vous devez disposer des éléments suivants : ! Fichier Microsoft PowerPoint® 2194A_07. il se peut que toutes les fonctionnalités des diapositives ne s'affichent pas correctement. anticiper autant que possible les réponses que les stagiaires sont susceptibles de donner et préparer des réponses appropriées en conséquence . Documents de cours Pour animer ce module. « Designing the Site Topology » (en anglais). ! créer et configurer des sites . du Kit de ressources techniques de Windows Server 2003 . la configuration et la gestion de sites . tout au long du module. Le module présente les concepts de base de la 30 minutes réplication et des sites dans Active Directory. sous Documentations supplémentaires sur la page Web du CD ROM du stagiaire. ! étudier les applications pratiques et les questions d'évaluation ainsi que les suggestions de réponses fournies . la planification d'une stratégie de site.

les applications applications pratiques pratiques et les ateliers ont été conçus pour ce cours. passez en revue ces informations dans la page des annexes sur le CD-ROM du stagiaire. Important Ce module inclut des éléments requis pour chaque leçon. Laissez 10 minutes aux stagiaires pour préparer leurs réponses aux questions d'évaluation. indiquez ces annexes aux stagiaires pour obtenir des informations complémentaires. Par mesure de sécurité.iv Module 7 : Implémentation de sites pour gérer la réplication Active Directory Comment animer ce module Cette section contient des informations qui ont pour but de vous aider à animer ce module. ou demander aux stagiaires de préparer les réponses de leur côté. Un module comprend au et ateliers minimum deux leçons. Une fois que les stagiaires ont terminé les leçons. Vous pouvez aussi les utiliser en début de journée pour passer en revue les éléments abordés la veille. Ils se servent des étapes décrites pour effectuer l'application pratique à la fin de chaque leçon. encouragez les stagiaires à utiliser la commande Exécuter en tant que pour exécuter les procédures de ce module. Procédures Les procédures vous permettent de montrer comment effectuer une tâche. expliquez qu'une application pratique est une occasion pour les stagiaires d'effectuer les tâches décrites dans la leçon. situés sur le CD-ROM du stagiaire. . La plupart des leçons comprennent des procédures et une application pratique. Avant d'animer la classe. le module enchaîne sur un atelier. Applications pratiques Après avoir présenté le contenu d'une rubrique et les procédures de la leçon. Les stagiaires n'effectuent pas les tâches en même temps que vous. Les stagiaires n'ont pas besoin de ces informations pour exécuter les tâches présentées dans ce module. Procédures. Remarque Certaines rubriques font référence à des informations complémentaires situées dans les annexes. Vous pouvez les présenter en introduction pour aider les stagiaires à identifier les difficultés ou en conclusion pour valider leurs connaissances. Durant la classe. Expliquez aux stagiaires de quelle manière les procédures. Vous pouvez choisir de parcourir ensemble les questions et les réponses. Envisagez de les utiliser pour consolider leurs connaissances à la fin de la journée.

la seconde le fait dans plusieurs domaines. Expliquez le rôle des objets de connexion dans la réplication. Si les stagiaires ont besoin d'instructions détaillées pour mener à bien l'atelier. Update Sequence Number). Ensuite. abordez les conflits se produisant au cours de la réplication. En utilisant des scénarios correspondant à l'environnement professionnel du stagiaire. Leçon : Présentation de la réplication Active Directory Cette leçon présente les connaissances nécessaires aux stagiaires pour comprendre comment la réplication améliore les performances d'Active Directory dans un réseau. Knowledge Consistency Checker) permet la génération automatique de la topologie de réplication. Ils peuvent également se reporter aux applications pratiques et aux procédures du module. Elle introduit les concepts fondamentaux de la réplication Active Directory. Insistez sur le processus de notification de modification. l'ajustage de la réplication et la configuration des entrées dans Active Directory. l'atelier permet aux stagiaires de mettre en pratique toutes les tâches abordées dans l'ensemble du module. double-cliquez sur le nœud du domaine). ils disposent d'un corrigé de chacun des ateliers sur le CD-ROM du stagiaire. et expliquez comment les résoudre. . Présentez la topologie de réplication. Application pratique Au cours des applications pratiques et à la fin de la leçon. La colonne de gauche indique la tâche à effectuer (par exemple. Expliquez comment les partitions d'annuaire autorisent la réplication entre les contrôleurs de domaine durant la réplication. Pour finir. Utilisez la diapositive animée pour expliquer comment le Vérificateur de cohérence de connaissances (KCC. demandez aux stagiaires d'analyser la configuration de réplication qui est en place dans l'environnement de la classe. créer un groupe). Utilisez les diapositives animées pour illustrer les modifications qui se produisent dans la topologie de réplication lorsqu'un nouveau serveur de catalogue global est ajouté à la forêt. La première diapositive illustre la topologie de réplication dans un seul domaine . Discutez de la finalité de la topologie de réplication. expliquez comment la convergence permet d'optimiser la réplication. Indiquez aux stagiaires les annexes du CD-ROM à consulter pour plus d'informations sur les numéros de séquence de mise à jour (USN. Expliquez les différences entre le processus de réplication d'attributs à valeurs multiples liés et la réplication normale dans Active Directory. Présentez le concept de latence de réplication au cours d'une réplication normale et urgente. Expliquez la différence entre les mises à jour d'origine et les mises à jour répliquées. Utilisez l'animation multimédia pour décrire les composants et le processus de la réplication. Module 7 : Implémentation de sites pour gérer la réplication Active Directory v Ateliers À la fin de chaque module. l'atelier propose des instructions présentées sous forme de deux colonnes. La diapositive de cette rubrique est animée. La colonne de droite contient des instructions spécifiques pour effectuer la tâche (par exemple : à partir du composant Utilisateurs et ordinateurs Active Directory.

La leçon met l'accent sur la réplication dans les sites. Application pratique Au cours des applications pratiques et à la fin de la leçon. demandez aux stagiaires de se reporter au scénario d'entreprise lorsqu'ils procèdent à la résolution des échecs de réplication. Elle introduit le concept d'un serveur de tête de pont. Démontrez comment créer des sites et des sous-réseaux. Cette erreur est parfaitement normale car les stagiaires ont créé leurs propres sites et les ont reliés à des sous-réseaux créés dans une application pratique précédente. Insistez sur le fait que les liens de sites créés dans Sites et services Active Directory et les ponts entre liens de sites fonctionnent indépendamment les uns des autres. faites-les participer à ce débat. Présentez les objets site et sous-réseau. Les stagiaires connaissant déjà les concepts fondamentaux relatifs aux sites. L'utilisation de sites en dehors de la réplication n'est pas traitée dans ce module. . demandez aux stagiaires de se reporter au scénario d'entreprise lorsqu'ils créent et configurent des sites. les stagiaires acquièrent les compétences et les connaissances nécessaires à la compréhension des sites.vi Module 7 : Implémentation de sites pour gérer la réplication Active Directory Leçon : Création et configuration de sites Dans cette leçon. le générateur de topologie inter-sites utilisé dans la réplication Active Directory et comment imposer et actualiser la réplication manuellement. Application pratique Au cours des applications pratiques et à la fin de la leçon. dans l'application pratique. Leçon : Résolution des échecs de réplication Dans cette leçon. L'erreur se produit car les sous-réseaux n'existent pas. Expliquez ce que sont les sites. Utilisez la rubrique Réplication à l'intérieur des sites et réplication entre les sites pour résumer les différences entre la réplication dans des sites et entre des sites. Faites remarquer que. Expliquez pourquoi les stagiaires doivent commencer par désactiver le pontage par défaut de tous les liens de sites avant de créer des ponts entre liens de sites. Décrivez les problèmes courants que les stagiaires risquent de rencontrer en gérant la réplication Active Directory et recommandez des stratégies pour les résoudre. Présentez les utilitaires et les outils de ligne de commande qui existent pour contrôler et résoudre les problèmes liés à la réplication Active Directory. créer et configurer des liens de sites et créer des ponts entre liens de sites. puis expliquez comment utiliser les sites pour optimiser la réplication Active Directory. demandez aux stagiaires de se reporter au scénario d'entreprise lorsqu'ils gèrent la topologie de site. Application pratique Au cours des applications pratiques et à la fin de la leçon. l'utilisation de l'outil de ligne de commande Dcdiag générera une erreur lors du test inter-sites. les stagiaires acquièrent les compétences et connaissances nécessaires pour contrôler et résoudre les problèmes courants de la réplication Active Directory. Leçon : Gestion de la topologie de site Cette leçon présente les compétences et connaissances dont les stagiaires ont besoin pour gérer la topologie des sites Active Directory.

Ils vont également dépanner et vérifier la réplication entre sites. l'intervalle et le protocole des liens de sites. ! Elle crée un nouvel objet sous-réseau. Module 7 : Implémentation de sites pour gérer la réplication Active Directory vii Leçon : Planification d'un site Cette leçon présente les compétences et connaissances dont les stagiaires ont besoin pour planifier une stratégie de site. Rappelez aux stagiaires les différences entre la conception Active Directory et la stratégie de planification Active Directory. qui est abordée dans la première rubrique Vue d'ensemble du processus de la planification des sites. assurez-vous qu'ils ont terminé l'atelier du Module 2. Résultats de l'atelier L'exécution de l'atelier de ce module induit les changements de configuration ci-dessous. des liens de sites. Configuration de l'atelier La liste suivante décrit la configuration requise pour l'atelier de ce module. À la fin de l'atelier. Atelier A : Implémentation de sites pour gérer la réplication Active Directory Dans cet atelier. la nécessité d'utiliser des ponts entre liens de sites et un serveur de tête de pont de réplication et la nécessité de sécuriser la réplication Active Directory.nwtradersx.msft. les stagiaires créent et configurent des sites. Abordez les instructions que les stagiaires peuvent utiliser pour déterminer la planification. des ponts entre liens de sites et des planifications de réplication du contrôleur de domaines. Avant de préparer les ordinateurs des stagiaires. . les stagiaires doivent travailler par équipe de deux. ! Elle crée un nouvel objet site. demandez-leur s'ils ont des questions. Un ordinateur est configuré en tant que domaine racine de la forêt et l'autre en tant que domaine enfant. ! Elle rétrograde le contrôleur de domaine corpx. Application pratique Dans l'application pratique à la fin de la leçon. Configuration requise Pour cet atelier.msft. demandez aux stagiaires de se référer au scénario d'entreprise lorsqu'ils planifient un site. ! Elle crée un contrôleur de domaine répliqué pour la forêt nwtradersx. ! Elle crée un nouvel objet lien de sites.

.

Active Directory utilise un modèle de réplication multimaître. Module 7 : Implémentation de sites pour gérer la réplication Active Directory 1 Vue d'ensemble ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction L'exécution d'une réplication dans le service d'annuaire Microsoft® Windows Server™ 2003 Active Directory® implique le transfert et la maintenance des données Active Directory entre les contrôleurs de domaine du réseau. toute modification des données d'un contrôleur de domaine doit être répliquée sur tous les autres. ! planifier une stratégie de site. . ! créer et configurer des sites . vous serez à même d'effectuer les tâches suivantes : ! décrire les composants et le processus de la réplication . vous pouvez gérer le trafic réseau de la réplication et assurer la cohérence des données Active Directory à travers votre réseau. Objectifs À la fin de ce module. Multimaître signifie qu'il y a plusieurs contrôleurs de domaine. qui ont l'autorisation de modifier ou de contrôler les mêmes données. ! contrôler et résoudre les échecs de réplication Active Directory . Dans ce modèle de réplication. ! gérer une topologie de site Active Directory . également appelés principaux. En comprenant le fonctionnement du modèle de réplication Active Directory.

Ce processus synchronise le déplacement des données mises à jour entre les contrôleurs de domaine. La Réplication est le processus de mise à jour des données contenues dans Active Directory d'un contrôleur de domaine vers les autres contrôleurs de domaine du réseau. vous serez à même de gérer efficacement la réplication dans Active Directory. Objectifs de la leçon À la fin de cette leçon. vous serez à même d'effectuer les tâches suivantes : ! décrire le fonctionnement de la réplication Active Directory .2 Module 7 : Implémentation de sites pour gérer la réplication Active Directory Leçon : Présentation de la réplication Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Lorsqu'un utilisateur ou un administrateur exécute une action qui entraîne une mise à jour d'Active Directory. ! expliquer comment le KCC permet de générer automatiquement la topologie de réplication . La synchronisation garantit que toutes les données contenues dans Active Directory sont accessibles par tous les contrôleurs de domaine et les ordinateurs clients d'un réseau. . ! expliquez comment les partitions d'annuaire autorisent la réplication entre les contrôleurs de domaine durant la réplication . ! expliquer comment Active Directory modifie la topologie de réplication lorsque vous ajoutez un nouveau serveur de catalogue global à la forêt. Cette modification est effectuée de manière transparente sur l'un des contrôleurs de domaine. ! expliquer la finalité de la réplication d'attributs à valeurs multiples liés . ! discutez de la finalité de la topologie de réplication . Active Directory utilise la réplication multimaître avec cohérence relâchée pour s'assurer que tous les contrôleurs de domaine sont bien mis à jour. En connaissant le processus et la topologie de réplication. un contrôleur de domaine approprié est automatiquement désigné pour exécuter la mise à jour.

• une modification est apportée aux valeurs d'attribut d'un objet . ! décrire comment s'effectue la réplication . • un objet est supprimé de l'annuaire. cliquez sur Multimédia. les mises à jour des attributs de sécurité sensibles déclenchent une notification de modification immédiate. Ce processus est appelé notification de modification. vous serez à même d'effectuer les tâches suivantes : ! définir la réplication et prévoir à quel moment elle a lieu . ! Réplication urgente. Le délai écoulé entre la modification et la mise à jour effective de tous les contrôleurs de domaine d'un site. ! Latence de réplication. celui-ci notifie ses partenaires de réplication à l'intérieur du même site. ouvrez la page Web sur le CD-ROM des stagiaires. . Au lieu d'attendre ces 15 secondes. Objectifs À la fin de cette présentation. • une modification est apportée au nom d'un conteneur d'objet . ! décrire les conflits de réplication et comment ils sont résolus. Lorsqu'une modification intervient sur un contrôleur de domaine. puis sur le titre de la présentation. ! Notification de modification. N'ouvrez pas cette présentation avant d'y être invité par l'instructeur. Points clés Voici les points clés de la réplication Active Directory dans un site : ! A quel moment la réplication se produit-elle ? Lorsque : • un objet est ajouté à Active Directory . La latence de réplication par défaut est de 15 secondes. Module 7 : Implémentation de sites pour gérer la réplication Active Directory 3 Présentation multimédia : Réplication à l'intérieur de sites ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Emplacement de fichier Pour commencer la présentation Réplication à l'intérieur de sites.

Active Directory résout trois types de conflits : les conflits d'attributs. la date de dernière modification et un identificateur GUID (Globally Unique Identifier) de serveur qu'Active Directory a créé durant le déclenchement de la mise à jour. Cette propagation complète est appelée convergence. ! Horodatage global unique. Il s'agit d'un processus empêchant les réplications inutiles. ! Blocage de propagation.4 Module 7 : Implémentation de sites pour gérer la réplication Active Directory ! Convergence. Relative Distinguished Name). . Update Sequence Number) pour éviter une réplication inutile. Chaque mise à jour dans Active Directory finit par être propagée à chaque contrôleur de domaine dans le site qui héberge la partition sur laquelle porte la mise à jour effectuée. Remarque Pour plus d'informations sur les numéros USN. consultez la rubrique « Réplication à l'intérieur de sites » de la page d'annexe du Module 7 sur le CD-ROM du stagiaire. de conteneurs supprimés et de noms uniques relatifs (RDN. ! Conflits. Active Directory gère un horodatage qui contient le numéro de version. Chaque contrôleur de domaine affecte à chaque attribut ou objet modifié un numéro de séquence de mise à jour (USN. Des conflits peuvent se produire lorsque des mises à jour simultanées se produisant sur deux réplicas maîtres distincts sont incohérentes.

une valeur individuelle réplique les modifications aux attributs à valeurs multiples liés. Attributs à valeurs Le processus qui réplique les attributs à valeurs multiples liés varie en fonction multiples liés et niveaux du niveau fonctionnel de la forêt : fonctionnels de la forêt ! Lorsque le niveau fonctionnel de la forêt est antérieur à Windows Server 2003. . Cette amélioration réplique les modifications uniquement aux informations d'appartenance et non à toute la liste des membres. ! Lorsque le niveau fonctionnel de la forêt est défini sur Windows Server 2003. Cette réplication augmente les risques d'écrasement d'une modification d'appartenance exécutée par un autre administrateur ou un autre contrôleur de domaine avant la réplication de la première modification. consultez la rubrique « Réplication d'attributs à valeurs multiples liés » de la page d'annexe du Module 7 sur le CD-ROM du stagiaire. Dans ce cas. toute modification apportée à l'appartenance de groupe déclenche la réplication de toute la liste des membres. Remarque Pour plus d'informations sur le réglage de la réplication et la configuration des entrées dans Active Directory. l'attribut member à valeurs multiples est considéré comme un seul attribut dans le cadre de la réplication. Module 7 : Implémentation de sites pour gérer la réplication Active Directory 5 Réplication d'attributs à valeurs multiples liés ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Le processus de réplication d'attributs à valeurs multiples liés est différent de celui de la réplication normale dans Active Directory.

Définition d'une partition Chaque forêt peut comporter plusieurs partitions de domaine. C'est pourquoi les objets doivent être conformes aux définitions d'objet et d'attribut du schéma. Les partitions de de domaine domaine sont stockées dans chaque contrôleur de domaine d'un domaine donné.6 Module 7 : Implémentation de sites pour gérer la réplication Active Directory Définition des partitions d'annuaire ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction La base de données Active Directory est divisée de manière logique en plusieurs partitions : d'annuaire. Les données de la configuration sont répliquées dans tous les contrôleurs de domaine de la forêt. Une partition de domaine contient les données sur tous les objets propres au domaine et créés dans ce domaine. Cette partition de schéma de schéma est stockée dans tous les contrôleurs de domaine de la même forêt. Définition d'une partition Chaque forêt possède une seule partition de schéma. la partition de configuration contient les données sur la structure Active Directory de l'ensemble de la forêt. Elle contient les définitions de tous les objets et attributs créés dans l'annuaire. De plus. Tous les objets de chaque partition de domaine d'une forêt sont stockés dans le catalogue global avec un seul sous-ensemble de leurs valeurs d'attribut. Les données du schéma sont répliquées dans tous les contrôleurs de domaine de la forêt. les groupes. dont les domaines et les sites existants. Tous les contrôleurs de domaine de la même forêt ont au moins deux partitions d'annuaire en commun : celles du schéma et de la configuration. tous les contrôleurs de domaine partagent une partition de domaine commune. . dont les utilisateurs. La réplication est exécutée entre les réplicas des partitions d'annuaire. les contrôleurs de domaine existants dans chaque forêt et les services disponibles. de la configuration. La partition de domaine est répliquée dans tous les contrôleurs de domaine de ce domaine. ainsi que les règles qui permettent de les créer et de les manipuler. du schéma. Chaque partition est une unité de réplication et possède sa propre topologie de réplication. du domaine et d'application. les ordinateurs et les unités d'organisation. Définition d'une partition Chaque forêt possède une seule partition de configuration. Stockée dans tous les de configuration contrôleurs de domaine de la même forêt.

. Comme exemple de partition d'applications. les données contenues dans une partition d'applications ne sont pas stockées dans le catalogue global. Les partitions d'applications stocke la zone DNS du domaine dans la DomainDNSZones <nom_domaine>. Chaque application détermine comment elle stocke. Tous les contrôleurs de domaine et les serveurs DNS d'une forêt reçoivent un réplica de cette partition. tels que les comptes d'utilisateurs. Aucune donnée DNS n'est répliquée sur le serveur de catalogue global. Chaque domaine possède une partition DomainDNSZones. une partition d'applications ne peut pas stocker les principaux objets de sécurité. Une partition d'applications d'une forêt entière stocke les données de la zone de la forêt. ! ForestDNSZones fait partie d'une forêt. Tous les contrôleurs de domaine qui sont des serveurs DNS dans ce domaine reçoivent un réplica de cette partition. De plus. si vous utilisez un système DNS qui est intégré à Active Directory. classe et utilise ses propres données. vous pouvez désigner les contrôleurs de domaine qui en hébergent dans une forêt. À la différence d'une partition de domaine. Pour éviter toute réplication inutile des partitions d'applications. Module 7 : Implémentation de sites pour gérer la réplication Active Directory 7 Définition d'une partition Les partitions d'applications stockent les données sur les applications dans d'applications Active Directory. ! DomainDNSZones est unique pour chaque domaine. mais il n'existe qu'une partition ForestDNSZones. vous avez deux partitions d'applications pour les zones DNS : ForestDNSZones et DomainDNSZones.

Pour créer une topologie de réplication. Les contrôleurs de domaine du même domaine répliquent également la partition du domaine. de domaines et d'applications. les contrôleurs de domaine qui hébergent une partition d'applications répliquent la partition d'applications. Avec le temps.8 Module 7 : Implémentation de sites pour gérer la réplication Active Directory Définition de la topologie de réplication ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction La topologie de réplication est l'itinéraire suivi par les données de la réplication à travers un réseau. La réplication se produit entre deux contrôleurs de domaine à la fois. Active Directory doit déterminer quels contrôleurs de domaine répliquent les données avec les autres contrôleurs de domaine. . La topologie de réplication peut différer pour les partitions de schéma. Tous les contrôleurs de domaine d'une même forêt partageant les partitions de schéma et de configuration. la réplication synchronise les données dans Active Directory pour toute une forêt de contrôleurs de domaine. Pour optimiser le trafic de la réplication. Active Directory réplique ces partitions de schéma et de configuration sur tous les contrôleurs de domaine. un contrôleur de domaine peut avoir plusieurs partenaires de réplication pour différentes partitions. Réplication de partitions Active Directory crée une topologie de réplication basée sur les données stockées dans Active Directory. De plus. Active Directory réplique les mises à jour d'annuaire dans tous les contrôleurs de domaine qui contiennent la partition mise à jour dans la forêt. de configuration.

Si nécessaire. Cette topologie améliore la tolérance de pannes lorsque l'un des contrôleurs de domaine est déconnecté. Les objets de connexion représentent un chemin de réplication à sens unique entre deux objets serveur. composé de deux objets de connexion unidirectionnels complémentaires entre deux contrôleurs de domaine adjacents. Les liens qui relient les partenaires de réplication sont appelés objets de connexion. . Les objets de connexion sont créés dans chaque contrôleur de domaine et pointent vers un autre contrôleur de domaine pour une source de données de réplication. Module 7 : Implémentation de sites pour gérer la réplication Active Directory 9 Objets de connexion Les contrôleurs de domaine qui sont liés par des objets de connexion sont appelés partenaires de réplication. Active Directory crée des objets de connexion supplémentaires pour limiter statistiquement à un maximum de trois le nombre de tronçons empruntés pour répliquer une mise à jour provenant de tous les réplicas d'une partition donnée dans un anneau. La topologie de réplication par défaut d'un site est un anneau bidirectionnel.

le KCC calcule les meilleures connexions pour envoyer les partitions d'annuaire d'un contrôleur de domaine vers les autres contrôleurs. Active Directory utilise le Vérificateur de cohérence de connaissances (KCC.10 Module 7 : Implémentation de sites pour gérer la réplication Active Directory Génération automatique de la topologie de réplication ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Lorsque vous ajoutez des contrôleurs de domaine à un site. Knowledge Consistency Checker) pour établir un chemin de réplication entre les contrôleurs de domaine. Définition du KCC KCC est un processus intégré qui s'exécute sur chaque contrôleur de domaine et génère la topologie de réplication pour toutes les partitions d'annuaire contenues dans ce contrôleur de domaine. utilisez Sites et services Active Directory. Ensuite. objets de connexion Lorsque vous exécutez le KCC sur le contrôleur de domaine de destination.vous supplémentaires ? créez automatiquement des objets de connexion. tout objet de connexion existant et les protocoles de réplication qu'il peut utiliser entre les sites. le KCC évalue les vérificateur KCC données de la partition de configuration des sites. Pour les créer manuellement. Si la réplication devient impossible dans un site ou à un point de défaillance unique. le KCC établit automatiquement de nouveaux objets de connexion entre les contrôleurs de domaine pour maintenir la réplication Active Directory. Comment sont créés les Vous pouvez créer des objets de connexion manuellement ou automatiquement. Comment fonctionne le Pour générer automatiquement une topologie de réplication. le coût de l'envoi des données entre ces sites (en fonction de la valeur relative des chemins de réplication). Le vérificateur KCC s'exécute à intervalles définis — par défaut toutes les 15 minutes — et désigne les itinéraires de réplication entre contrôleurs de domaine les plus judicieux disponibles à ce moment-là. .

Cet objet existe dans l'objet NTDS Settings du contrôleur B. Par exemple. Cette opération génère des objets de connexion complémentaires entre partenaires de réplication et crée deux sources de contrôleurs de domaine pour chaque contrôleur lorsque c'est possible. pour répliquer entièrement les données d'annuaire entre le contrôleur de domaine A et le contrôleur de domaine B. il faut deux objets de connexion. Module 7 : Implémentation de sites pour gérer la réplication Active Directory 11 KCC et objets de L'algorithme du KCC est conçu pour associer des contrôleurs de domaine à connexion des partitions d'annuaire communes. Cet objet existe dans l'objet NTDS Settings du contrôleur A. La réplication à partir de n'importe quelle partition utilise un objet de connexion. . ! Un second objet de connexion active la réplication du contrôleur B vers le contrôleur A. ! Un objet de connexion active la réplication du contrôleur A vers le contrôleur B.

écrits uniquement dans la zone DNS racine de la forêt. Les serveurs de catalogue global enregistrent les enregistrements DNS spéciaux dans la zone DNS qui correspond au domaine racine de forêt. lors d'une réplication normale dans toute la forêt. La partition de configuration fournit également aux contrôleurs de domaine la liste de tous les serveurs de catalogue global de la forêt. la partition de affecte-t-elle le serveur configuration stocke les données sur ce nouveau domaine.12 Module 7 : Implémentation de sites pour gérer la réplication Active Directory Catalogue global et réplication de partitions ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Un serveur de catalogue global est un contrôleur de domaine qui stocke deux partitions pour toute la forêt — les partitions de schéma et de configuration — plus une copie en lecture/écriture de la partition de son propre domaine et un réplica partiel de toutes les autres partitions de domaine dans la forêt. Comment la réplication Lorsque vous ajoutez un nouveau domaine à une forêt. . aident les clients et les serveurs à localiser les serveurs de catalogue global à travers la forêt. Chaque serveur de catalogue global devient un réplica partiel du nouveau domaine en contactant un contrôleur de domaine pour ce domaine et en obtenant les données du réplica partiel. Active Directory de catalogue global ? réplique la partition de configuration sur tous les contrôleurs de domaine. y compris les serveurs de catalogue global. Ces enregistrements. Ces réplicas partiels contiennent un sous-ensemble en lecture seule des données de chaque partition de domaine.

Cliquez sur Démarrer. notez les partenaires de réplication de votre ordinateur. Dans la boîte de dialogue Propriétés de NTDS Settings. puis Servers. . puis cliquez sur Annuler. dans l'onglet Connexions. vous allez analyser la configuration de la réplication Active Directory. tapez Votre_Domaine\Administrateur comme nom d'utilisateur. puis cliquez sur Propriétés. Dans la boîte de dialogue Exécuter en tant que. Vous devez trouver ce qui provoque les conflits de réplication et comment les résoudre. le mot de passe P@ssw0rd et cliquez sur OK. Développez Sites. puis cliquez sur Exécuter en tant que. 5. pointez sur Outils d'administration. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser (où Nom_Ordinateur est le nom de l'ordinateur avec lequel vous travaillez) avec le mot de passe P@ssw0rd. 4. cliquez avec le bouton droit sur NTDS Settings. puis Nom_Ordinateur. 2. Scénario Northwind Traders rencontre des problèmes de conflits de réplication. cliquez sur L'utilisateur suivant. Application pratique ! Analyser la réplication Active Directory 1. cliquez sur NTDS Settings. Module 7 : Implémentation de sites pour gérer la réplication Active Directory 13 Application pratique : Présentation de la réplication Active Directory ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Objectifs Dans cette application pratique. puis Premier-Site-par-defaut. cliquez avec le bouton droit sur Sites et services Active Directory. Instructions Vous travaillerez avec votre partenaire. 3.

. Cliquez sur Modifier la planification. puis cliquez sur Annuler deux fois. 7. notez la planification des horaires de réplication. Dans la boîte de dialogue Propriétés de <généré automatiquement>. 8. cliquez sur Transport. Dans le volet de détails. notez les transports disponibles. puis cliquez sur RPC. cliquez avec le bouton droit sur l'objet de connexion listé.14 Module 7 : Implémentation de sites pour gérer la réplication Active Directory 6. puis cliquez sur Propriétés.

des liens de sites et des ponts entre les liens pour faciliter le contrôle de la topologie de réplication. ! créer et configurer des sites et des sous-réseaux . . ! créer un pont entre liens de sites. Module 7 : Implémentation de sites pour gérer la réplication Active Directory 15 Leçon : Création et configuration de sites ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction La réplication garantit que toutes les données contenues dans Active Directory sont à jour dans tous les contrôleurs de domaine et stations de travail d'un réseau. ! créer et configurer des liens de sites . et les liens qui les connectent peuvent avoir des débits variés. ! expliquer l'objectif de la désactivation du pontage par défaut de tous les liens de sites . Lorsque vous configurez la réplication entre les sites. ! expliquer la fonction des liens de sites et de leurs attributs . ! décrire la différence entre la réplication entre sites et la réplication dans les sites . vous pouvez utiliser des objets sous-réseau. vous serez à même d'effectuer les tâches suivantes : ! expliquer la fonction des sites et des objets sous-réseau . Objectifs de la leçon À la fin de cette leçon. De nombreux réseaux sont composés de plusieurs réseaux plus petits. La fiabilité et l'efficacité d'une topologie de réplication dépendent de la configuration des liens et des ponts entre les sites. Vous utilisez des sites dans Active Directory pour contrôler la réplication et d'autres types de trafic Active Directory à travers les différentes liaisons du réseau.

Un sous-réseau est un segment d'un réseau TCP/IP auquel un ensemble d'adresses IP logiques est attribué. Les sites sont composés d'objets serveurs.16 Module 7 : Implémentation de sites pour gérer la réplication Active Directory Définition des sites et des objets sous-réseau ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Vous utilisez des sites pour contrôler le trafic de réplications. qui contiennent eux-mêmes les objets de connexion autorisant la réplication. ce site est appelé Premier- Site-par-defaut. qui à son tour définit un groupe de contrôleurs de domaine partageant les mêmes débits et coûts. Vous pouvez le renommer de manière plus descriptive. Par exemple. Par défaut. le trafic lié aux connexions et les requêtes des clients sur le serveur de catalogue global. les sites facilitent la définition de la structure physique