You are on page 1of 33

Active Directory

• • • • • • • •

Notion de groupe de travail Notion de domaine Structure logique de l’Active Directory Structure physique de l’Active Directory Les sites Arborescences et forêts Relation d’approbation Rôle du maître d’opération au niveau d’une forêt • Rôle du maître d’opération au niveau d’une domaine

GROUPE DE TRAVAIL
• Un groupe de travail est un ensemble d’ordinateurs en réseau qui partagent leurs ressources. Chaque ordinateur possède sa propre base de données concernant les noms des utilisateurs, leur mot de passe et leur profil. On y trouve aussi bien des ordinateurs avec Windows 2003 Pro ou Windows 2003 Server. • Un serveur Windows 2003 qui ne fait pas partie d’un domaine, est un serveur autonome

NOTION DE DOMAINE
• • Un domaine windows 2003 est un groupe d’ordinateurs qui utilisent la même base de données d’annuaire centrale. Le contrôleur de domaine est un ordinateur qui contient un exemplaire de la base de données (Annuaire). Seuls les ordinateurs exécutant windows 2003 Server peuvent être contrôleur de domaine. Un serveur membre est un serveur qui fait partie du domaine, mais qui n’est pas contrôleur de domaine

.

Dans Windows NT4, il existe des contrôleurs de domaines principaux et des contrôleurs de domaines secondaires. Dans windows 2003, tous les contrôleurs de domaine sont au même niveau. • Les ordinateurs qui exécutent Windows version cliente sont les stations de ce domaine.

EXEMPLE DE DOMAINE
Active Directory Contrôleur de domaine Active Directory Contrôleur de domaine

Domaine Windows 2003 Serveur membre Ordinateurs clients

Figure 1 : Domaine Windows 2003.

Services d’Annuaire
• • • Un annuaire est une base de données qui contient des informations sur les différents objets et liens gérés au niveau du domaine Le service d’annuaire est un service du réseau qui permet d’utiliser l’annuaire : Active Directory est le service d’annuaire utilisé sur Windows 2003 Active Directory utilise le système de noms de domaine DNS. Par conséquent, il doit exister un service DNS sur un des serveurs Windows 2003 Server du réseau. Active Directory utilise le protocole normalisé LDAP(Lightweight Directory Access Protocol, ce qui permet d’accéder à d’autres services annuaires comme celui de Novell. aux ressources réseau comme les données utilisateurs, les imprimantes, les serveurs, les bases de données, les groupes, les ordinateurs et les stratégies de sécurités. Toutes ces entités sont désignées sous le nom d’objets.

• Active Directory comprend l’annuaire qui stocke les informations relatives

Structure logique d'Active Directory
• Un objet représente une entité gérée par Active Directory (ordinateur, groupes d'utilisateurs utilisateurs …).

Chaque objet possède des propriétés appelées attributs. Par exemple les attributs d'un utilisateur sont : son nom, son prénom, son adresse, son e-mail, etc. ..

Structure physique de l’Active Directory
• • Chaque contrôleur de domaine stocke une copie complète de toutes les informations Active Directory relatives au domaine. Une réplication (copie) de tous les objets d'un domaine se fait automatiquement sur les autres contrôleurs du domaine

.
Réplication

Réplication

Contrôleur de domaine

Contrôleur de domaine

Contrôleur de domaine

Les sites
• site est un ensemble de sous-réseaux IP. En général, un site correspond à un réseau local. Si 2 réseaux locaux sont reliés par une liaison WAN, on crée 2 sites qui peuvent faire partie du même domaine ou non.

Exemple de site appartenant au même domaine
Domainelepetit.com

Site 1

Site 2

Exemple de site appartenant à des domaines différents
DomaineA

SITE 1

SITE 2

DomaineB DomaineC

DomaineD

Arborescence
Domaineparent dufour.com

Approbation

Approbation

Annuaire partagé
Active Directory

Domaineenfant markt.dufour.com Approbation

Domaineenfant product.dufour.com

Forêt
Catalogue global
dufour.com

dumoulin.com

marcket.dufour.com

product.dufour.com

marcket.dumoulin.com

product.dumoulin.com

Relations d'approbation
• Les domaines d'une arborescence sont liés par des approbations transitives réciproques Kerberos. Cela signifie que tout utilisateur reconnu dans un domaine l'est automatiquement dans les autres domaines de l'arborescence. Kerberos est un protocole de sécurité utilisé sur Internet qui permet d'authentifier un utilisateur. Dans Kerberos V5 , les mots de passe en ligne sont encryptés.

Relation d'approbation réciproque

DomaineA

DomaineC

Relation d'approbation réciproque

Domaine B

Relation d'approbation réciproque

CONFIGURATION DU CONROLUER DE DOMAINE
• • Demarrer----- executer ---- dcpromo Votre contrôleur est la première machine d’un nouveau domaine

Ce nouveau domaine est le domaine parent d’une nouvelle « arborescence » de domaines,

Ce nouveau domaine est le domaine parent d’une nouvelle « arborescence » de domaines, …

… elle-même dans une nouvelle « forêt
d’arborescences de domaines »

Saisissez le nom du domaine Active Directory (exemple ENITE.MA)

Acceptez le nom NETBIOS du domaine (pour compatibilité avec WNT4 et W9x)

Acceptez les répertoires par défaut pour le stockage des fichiers de l’annuaire

Sélectionnez « Autorisations compatibles uniquement avec les serveurs Windows 2003 » : ceci permettra de passer en mode « natif », pour bénéficier de toutes les fonctionnalités de Windows 2003. Le mode « mixte » restreint ces fonctionnalités, pour rester compatible avec Windows NT4 : il n’est utile que pour faire cohabiter Windows 2003 avec les anciennes versions.

« Mot de passe administrateur de Restauration des services d’annuaire » : ce que vous
voulez. Il n’est utilisé que pour la maintenance d’Active Directory (ne pas le confondre avec le vrai compte administrateur du domaine)

• Fin de configuration de l’Active directory

• •

Configuration du contrôleur du domaine enfant Dans la fenêtre « Créer une arborescence ou un domaine enfant », choisir « Créer un nouveau domaine enfant dans une arborescence de domaine existante »

• Il faut donner le nom et le mot de passe du compte administrateur du domaine parent •

Saisir le nom du domaine parente et enfant :

Le reste des étapes est identique à ceux de la configuration du domaine parent

Intégration d’un poste à un contrôleur de domaine
• • • • • • cliquer sur « Poste de Travail », bouton droit Propriétés, puis sur l’anglet nom de l’ordinateur Cliquer sur le bouton modifier Cliquer sur le bouton domaine et saisir le nom du domaine Cliquer sur OK Un nom et un mot de passe reconnu par le domaine sera demandé pour terminer l’intégration Si tout passe bien le message suivant apparaît à l’écran

– BIEN VENUE DANS LE DOMAINE X

Intégration d’un contrôleur supplémentaire
• • • Dans l’outil configuration serveur, lancer l’assistant d’installation d’Active Directory L’assistant démarre , cliquer sur suivant Sélectionner l’option : – Contrôleur de domaine supplémentaire pour un domaine existant – Saisir
– – – – – – – – Nom utilisateur Administrateur Mot de passe *************** Domaine Nom de votre domaine Puis entrer le nom complet du domaine existant pour lequel ce serveur deviendra contrôleur de domaine supplémentaire Laisser l’emplacement de la base de données et du journal par défaut Saisir le mot de passe de restauration Un écran de copie de base apparaît pour être synchronisée Cliquer sur terminer puis redémarrer votre serveur

Sauvegarde de l’Active Directory
• Pour sauvegarde l’Active Directory : • Démarrer --- programme --- accessoires -Outils système --- utilitaire de sauvegarde • Dans l’assistant de sauvegarde sélectionner : Ne sauvegarder que les données sur l’état du système

Restauration de l’Active Directory
• • • • • Pour sauvegarde l’Active Directory : Démarrer --- programme --- accessoires -- Outils système --- utilitaire de sauvegarde Cliquer sur l’assistant de restauration puis suivant Assurer que les connecteurs disques systèmes et État système , au moins sélectionnés Cliquer sur avancé puis assurez vous que vous restaurer les points de jonction , dans le cas échant le processus de restauration ne se déroulera pas correctement Dans la liste Restaurer les fichiers vers , cliquer sur Emplacement d’origine puis OK pour terminer le processus En fin le système va vous inviter à redémarrer votre ordinateur A l’invite du commandes , taper ntdsutil puis ENTREE Taper ensuite authoritative restore puis ENTREE

• • • •

SUPPRESSION D’UN CONTROLEUR DU DOMAINE
• Ouvrir l’assistant de l’installation de l’active directory par dcpromo • Dans la page de suppression cocher supprimer le contrôleur de domaine , dans le cas échéant cocher la case le serveur est le dernier contrôleur du domaine puis cliquer sur suivant • Dans la page mot de passe , saisir le mot de passe de l’administrateur puis confirmer le • Dans la page du résumé , passer en revue le résumé puis cliquer sur suivant