Module 9 : Installation d'active Directory

Transcription

1 Module 9 : Installation d'active Directory Table des matières Vue d'ensemble 1 Présentation d'active Directory 2 Présentation multimédia : Concepts du service Active Directory de Microsoft Windows Structure logique 10 Structure physique 19 Rôles des contrôleurs de domaine spécifiques 22 Installation d'active Directory 27 Atelier A : Installation d'active Directory 39 Vérification de l'installation d'active Directory 46

2 Module : Installation d'active Directory 1 Vue d'ensemble Donner une vue d'ensemble des sujets et des objectifs de ce module. Dans ce module, vous allez découvrir le rôle d'active Directory au sein d'un réseau Windows Présentation d'active Directory Structure logique Structure physique Rôles des contrôleurs de domaine spécifiques Installation d'active Directory Vérification de l'installation d'active Directory Dans un réseau Microsoft Windows 2000, le service d'annuaire Active Directory fournit la structure et les fonctions nécessaires pour organiser, gérer et contrôler les ressources réseau. Pour administrer un réseau Windows 2000 ou en effectuer le support technique, vous devez comprendre l'objet ainsi que la structure d'active Directory. À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : décrire le rôle d'active Directory dans Windows 2000 ; décrire la structure logique d'active Directory ; décrire la structure physique d'active Directory ; décrire les rôles des serveurs de catalogue global et des opérations principales simples dans Active Directory ; installer Active Directory ; vérifier l'installation d'active Directory ;

3 2 Module : Installation d'active Di rectory Présentation d'active Directory Présenter les fonctionnalités, les normes et les conventions de dénomination d'active Directory, ainsi que sa relation avec le système DNS. Active Directory fait partie intégrante d'un réseau Windows Définition d'active Directory Technologies prises en charge par Active Directory Conventions de dénomination Active Directory Active Directory et système DNS Pour configurer et administrer un réseau Windows 2000, les professionnels de l'informatique doivent avoir une connaissance approfondie d'active Directory. La section suivante répond notamment aux questions formulées ci-dessous. Quels sont les avantages offerts par l'utilisation d'active Directory? Quels standards Internet sont pris en charge par Active Directory? Quelles sont les conventions de dénomination utilisées dans Active Directory dont vous devez tenir compte quand vous créez un réseau Windows 2000? Quel est le rôle du système DNS dans Active Directory?

4 Module : Installation d'active Dir ectory 3 Définition d'active Directory Expliquer le rôle d'active Directory en tant que service d'annuaire réseau. Les services d'annuaire contiennent des informations relatives aux ressources réseau. Fonctionnalités du service d'annuaire Organiser Gérer Contrôler Ressources Gestion centralisée Point d'administration unique Les utilisateurs ouvrent une session une fois pour l'accès complet aux ressources de l'annuaire Active Directory constitue le service d'annuaire d'un réseau Windows Un service d'annuaire est un service réseau qui contient des informations sur les ressources réseau et les rend accessibles aux utilisateurs et aux applications. Les services d'annuaire sont importants car ils permettent de nommer, décrire, localiser, gérer, accéder et sécuriser de manière cohérente les informations concernant les ressources réseau. Fonctionnalités du service d'annuaire Active Directory offre les fonctions d'un service d'annuaire, et permet notamment de centraliser l'organisation, la gestion et le contrôle d'accès aux ressources réseau. Grâce à Active Directory, la topologie physique et les protocoles du réseau sont transparents ; ainsi, un utilisateur connecté au réseau peut accéder à n'importe quelle ressource sans savoir où elle se trouve ou comment elle est connectée physiquement, comme dans le cas d'une imprimante. Active Directory organise l'annuaire en sections qui permettent le stockage d'un grand nombre d'objets. Active Directory peut ainsi se développer au fur et à mesure de la croissance d'une société et vous permettre de passer d'un seul serveur (avec quelques centaines d'objets) à des milliers de serveurs (avec des millions d'objets). Gestion centralisée Un serveur Windows 2000 stocke dans Active Directory des informations relatives à la configuration du système, aux profils des utilisateurs et aux applications. Combiné au programme Stratégie de groupe, Active Directory permet aux administrateurs de gérer des postes de travail distribués, des services réseau et des applications à partir d'un emplacement central tout en utilisant une interface de gestion homogène. Les administrateurs réseau disposent également d'un moyen cohérent pour effectuer le suivi et la gestion des périphériques réseau, comme les routeurs.

5 4 Module : Installation d'active Di rectory Technologies prises en charge par Active Directory Décrire les standards, protocoles et API pris en charge par Active Directory et Windows Active Directory prend en charge les principaux standards, protocoles et API. TCP/IP DHCP DNS SNTP Technologies Internet standard LDAP X.509 Kerberos LDIF L'objectif d'active Directory est de fournir une représentation homogène du réseau qui réduira considérablement le nombre d'annuaires et d'espaces de noms que doivent utiliser les administrateurs réseau et les utilisateurs. Active Directory est spécialement conçu pour interagir avec d'autres annuaires et les gérer, quels que soient leur emplacement ou le système d'exploitation des ordinateurs sur lesquels ils sont stockés. Pour y parvenir, Active Directory offre une large prise en charge des standards et protocoles existants et fournit des interfaces de programmation d'application (API, Application Programming Interface) qui facilitent la communication avec les autres annuaires. Le tableau suivant décrit les différentes technologies prises en charge par Active Directory, le rôle de chacune d'entre elles ainsi que des documents de référence : Technologie Fonctions Document de référence Protocole DHCP (Dynamic Gestion des adresses de RFC 2131 Host Configuration Protocol) réseau Protocole de mise à jour dynamique DNS Protocole SNTP (Simple Network Time Protocol) Protocole LDAP (Lightweight Directory Access Protocol) version 3 Gestion des noms d'hôte Service de gestion du temps distribué Accès au répertoire client RFC 2052 et 2163 RFC 1769 RFC 2251 Protocole LDAP 'C' API d'annuaire RFC 1823 Format LDIF (LDAP Data Interchange Format) Synchronisation d'annuaires Projet IETF (Internet Engineering Task Force) Protocole LDAP Schéma d'annuaire RFC 2247, 2252 et 2256

6 Module : Installation d'active Directory 5 (suite) Technologie Fonctions Document de référence Kerberos V5 Méthodes RFC 1510 d'authentification Certificats X.509 version 3 Méthodes d'authentification ISO (International Organization for Standardization) X.509 Protocole TCP/IP (Transmission Control Protocol/Internet Protocol) Transport réseau RFC 791 et 793 La prise en charge de ces standards Internet présente plusieurs avantages. L'intégration du service DNS à Active Directory permet aux entreprises de créer une structure globale de dénomination compatible avec les conventions DNS standard d'internet. Le protocole LDAP optimise l'interopérabilité entre les applications et les services d'annuaire et permet l'interopérabilité des annuaires par le biais de la synchronisation. L'intégration de Kerberos V5 et du certificat X.509 à Active Directory offre aux entreprises la flexibilité nécessaire pour combiner et adapter leurs besoins en matière de déploiement de sécurité, à la fois dans des environnements Internet et intranet.

7 6 Module : Installation d'active Di rectory Conventions de dénomination Active Directory Citer les conventions de dénomination des objets dans Active Directory. Chaque objet Active Directory porte un nom unique. Nom complet CN=David Dubois, CN=Users, DC=contoso, DC=msft Nom complet relatif Nom principal d'utilisateur DavidD@Contoso.msft Identificateur unique global Unicité des noms Les utilisateurs et les applications sont concernés par les conventions de dénomination utilisées par les services d'annuaire. Pour localiser des ressources réseau, ils doivent connaître le nom ou une propriété de la ressource recherchée. Active Directory prend en charge de nombreuses conventions de dénomination, ce qui permet aux utilisateurs et aux applications d'utiliser le format qui leur convient le mieux pour accéder aux ressources dans Active Directory. Nom complet Chaque objet Active Directory porte un nom complet. Le nom complet identifie le domaine dans lequel est situé l'objet, en plus de son chemin d'accès complet. Un nom complet se présente en général sous la forme suivante : CN=David Dubois,CN=Users,DC=contoso,DC=msft Ce nom complet identifie l'objet utilisateur David Dubois dans le domaine Contoso.msft. Dans le nom complet, DC est l'abréviation de Domain Component et CN est l'abréviation de Common Name. Nom complet relatif Le nom complet relatif d'un objet est l'élément du nom complet qui constitue un attribut de l'objet. Dans l'exemple précédent, le nom complet relatif de l'objet utilisateur David Dubois est David Dubois. Le nom complet relatif de l'objet parent est Users. Nom principal d'utilisateur Le nom principal d'utilisateur (UPN, User Principal Name) d'un objet utilisateur est composé du nom d'ouverture de session de l'utilisateur et du nom DNS du domaine dans lequel l'objet se trouve. Par exemple, l'utilisateur David Dubois, membre du domaine Contoso.msft, pourrait avoir le nom principal d'utilisateur DavidD@Contoso.msft. Ce nom peut être utilisé pour ouvrir une session sur le réseau. Si nécessaire, un administrateur peut définir des suffixes supplémentaires pour les noms principaux d'utilisateur.

8 Module 3 : Installation d'active Directory 7 Identificateur unique global L'identificateur unique global (GUID, Globally Unique Identifier) est une représentation hexadécimale sur 128 bits attribuée par Windows 2000 aux objets lors de leur création. Les identificateurs GUID sont attribués par un algorithme qui utilise l'heure de création de l'objet ainsi que des informations physiques aléatoires pour créer une représentation hexadécimale garantissant l'unicité. L'identificateur GUID ne change jamais, même si vous déplacez ou renommez l'objet. Les applications peuvent stocker l'identificateur GUID d'un objet et être capable de le retrouver même si le nom complet de l'objet est modifié. Unicité des noms L'unicité des noms complets est garantie au sein d'une forêt. Active Directory n'autorise pas la présence de deux objets portant le même nom complet relatif dans le même conteneur parent. Les noms principaux d'utilisateur doivent être uniques, mais Active Directory n'imposant pas cette condition, il est également possible d'avoir des noms principaux d'utilisateur en double. Les identificateurs GUID sont par définition uniques.

9 8 Module : Installation d'active Di rectory Active Directory et système DNS Citer les rôles du service DNS dans Active Directory. Le système DNS sert trois fonctions principales dans Active Directory. Résolution de noms Définition d'espaces de noms Localisation des composants physiques d'active Directory Active Directory utilise le système DNS pour servir les trois fonctions principales décrites ci-dessous. Résolution de noms. Le système DNS fournit une fonction de résolution de noms en traduisant les noms d'hôte en adresses IP (Internet Protocol). Définition d'espaces de noms. Active Directory utilise les conventions de dénomination du système DNS pour nommer les domaines. Les noms de domaine Windows 2000 sont des noms de domaine DNS. Par exemple, Contoso.msft constitue un nom de domaine DNS valide et peut également être le nom d'un domaine Windows Localisation des composants physiques d'active Directory. Pour ouvrir une session sur le réseau et exécuter des requêtes dans Active Directory, un ordinateur exécutant Windows 2000 doit en premier lieu localiser un contrôleur de domaine ou un serveur de catalogue global. La base de données DNS contient des informations sur les ordinateurs chargés d'exécuter ces rôles afin que la requête soit directement orientée en conséquence.

10 Module : Installation d'active Directory 9 Présentation multimédia : Concepts du service Active Directory de Microsoft Windows 2000 Donner une vue d'ensemble de la présentation multimédia «Concepts du service Active Directory de Microsoft Windows 2000». Cette présentation multimédia décrit les concepts fondamentaux du service Active Directory de Windows Vous devez comprendre ces concepts pour pouvoir assurer le support technique d'un réseau Windows Cette présentation multimédia décrit les concepts de base d'active Directory, notamment les unités d'organisation, les arborescences, les forêts, les conventions de dénomination DNS et les sites.

11 10 Module : Installation d'active Directory Structure logique Présenter les composants logiques d'active Directory. Vous utilisez les composants logiques d'active Directory pour concevoir une hiérarchie d'annuaire. Domaines Unités d'organisation Arborescences et forêts Schéma Domaine Domaine Domaine Arborescence UO Domaine Domain Domain UO UO Domaine Forêt Domaine Arborescence Domaine Domaine Domaine Domaine La structure logique d'active Directory est modulaire et offre une méthode de conception de hiérarchie d'annuaire cohérente, à la fois pour ses utilisateurs et ses administrateurs. Les composants logiques de la structure d'active Directory sont les suivants : Domaines Unités d'organisation Arborescences Forêts Schéma Il est important de comprendre le rôle et la fonction des composants logiques de la structure d'active Directory pour réaliser différentes tâches telles que la planification, l'installation, la configuration et le dépannage d'active Directory.

12 Module : Installation d'active Directory 11 Domaines Expliquer le rôle du domaine dans Active Directory. Le domaine constitue l'unité fondamentale de la structure logique. Limite de sécurité Unité de duplication Modes des domaines Mode mixte Mode natif Contrôleur de domaine (Windows 2000) et Contrôleur de domaine (Windows NT 4.0) Contrôleurs de domaine (Windows 2000 uniquement) Il s'agit de l'unité fondamentale de la structure logique d'active Directory. Un domaine est un ensemble d'ordinateurs défini par un administrateur qui partagent une même base de données d'annuaire. Limite de sécurité Dans un réseau Windows 2000, le domaine sert de limite de sécurité. L'administrateur d'un domaine dispose des autorisations et des droits nécessaires pour effectuer des tâches d'administration uniquement au sein de ce domaine, à moins que des droits sur un autre domaine ne lui soient explicitement accordés. Chaque domaine dispose de ses propres stratégies et relations de sécurité avec d'autres domaines. Unité de duplication Les domaines constituent également des unités de duplication. Tous les contrôleurs d'un domaine participent à la duplication et contiennent une copie complète de toutes les informations d'annuaire de leur domaine. Active Directory utilise un modèle de duplication à plusieurs maîtres. Chaque contrôleur d'un domaine donné est en mesure de recevoir des modifications et de les dupliquer vers l'ensemble de ses homologues au sein du domaine. Points clés Le système d'exploitation des contrôleurs de domaine détermine le mode que peut utiliser votre domaine. Modes des domaines Une fois Active Directory installé et un domaine créé, ils fonctionnent tous deux en mode mixte. Un domaine fonctionnant en mode mixte prend en charge les contrôleurs de domaine qui exécutent Windows 2000 ou Microsoft Windows NT. Active Directory s'installe en mode mixte afin de prendre en charge les contrôleurs de domaine existants qui n'ont pas été mis à niveau vers Windows Vous pouvez utiliser votre domaine en mode mixte indéfiniment et ainsi mettre à niveau des contrôleurs de domaine Windows NT selon un calendrier répondant aux besoins de votre entreprise.

13 12 Module 3 : Installation d'active Directory Si votre réseau ne dispose d'aucun contrôleur de domaine qui s'exécute sur Windows NT, ou que tous vos contrôleurs de domaine ont été mis à niveau vers Windows 2000, vous pouvez convertir le domaine du mode mixte au mode natif. Dans un domaine en mode natif, tous les contrôleurs de domaine exécutent Windows Il n'est pas nécessaire de mettre à niveau vers Windows 2000 les serveurs membres et les ordinateurs clients avant d'avoir converti le domaine en mode natif. Certaines fonctionnalités d'active Directory, telles que l'imbrication de groupes, l'utilisation de groupes locaux de domaine sur des serveurs membres et la création de groupes universels de sécurité, imposent que le domaine soit en mode natif. Un domaine peut être converti en mode natif quels que soient les modes des autres domaines de la forêt. Attention Le passage du mode mixte au mode natif est unidirectionnel ; autrement dit, vous ne pouvez pas passer du mode natif au mode mixte.

14 Module : Installation d'active Directory 13 Unités d'organisation Expliquer le rôle des unités d'organisation dans Active Directory. Une unité d'organisation est un conteneur dans lequel vous organisez des objets. Hiérarchie des unités d'organisation Structure organisationnelle Paris Ventes Réparation Modèle d'administration de réseau Ventes Utilisateurs Ordinateurs Contrôle administratif des unités d'organisation Unités d'organisation et modèle à domaine unique Une unité d'organisation est un objet conteneur utilisé pour organiser les objets d'un domaine. Une unité d'organisation contient des objets tels que des comptes d'utilisateur, des groupes, des ordinateurs, des imprimantes, ainsi que d'autres unités d'organisation. Hiérarchie des unités d'organisation Vous pouvez utiliser les unités d'organisation pour regrouper des objets en une hiérarchie logique répondant aux besoins de votre entreprise. Par exemple, vous pouvez créer une hiérarchie d'unités d'organisation pour représenter les éléments suivants d'une entreprise : une structure organisationnelle reposant sur des services ou des limites géographiques ; un modèle d'administration de réseau reposant sur des responsabilités administratives. Par exemple, une société peut charger un administrateur donné de l'ensemble des comptes d'utilisateur et un autre de l'ensemble des ordinateurs. Dans ce cas, vous créerez une unité d'organisation pour les utilisateurs et une autre pour les ordinateurs. La hiérarchie des unités d'organisation au sein d'un domaine donné est indépendante de la structure hiérarchique des unités d'organisation dans d'autres domaines ; chaque domaine peut implémenter sa propre hiérarchie d'unités d'organisations.

15 14 Module : Installation d'active Directory Contrôle administratif des unités d'organisation Vous pouvez déléguer le contrôle administratif sur les objets présents dans une unité d'organisation. Pour ce faire, vous accordez des autorisations spécifiques pour l'unité d'organisation et les objets qu'elle contient à un ou plusieurs utilisateurs et groupes. Pour une unité d'organisation, vous pouvez accorder un contrôle administratif complet (par exemple, un contrôle total sur tous les objets présents dans l'unité d'organisation) ou limité (par exemple, la capacité de modifier des informations de courrier électronique sur des objets utilisateur présents dans l'unité d'organisation). Unités d'organisation et modèle à domaine unique Étant donné qu'un domaine Active Directory peut contenir des millions d'objets, de nombreuses sociétés pourront passer d'un modèle à plusieurs domaines à un modèle à domaine unique. Un modèle à domaine unique simplifie la gestion au niveau du domaine, notamment l'utilisation de certaines technologies de sécurité. Vous pouvez combiner les ressources d'un domaine dans des unités d'organisation en fonction des besoins de votre société, plutôt que de créer et de gérer plusieurs domaines. Vous pouvez facilement déplacer des objets entre différentes unités d'organisation au sein du domaine, imbriquer des unités d'organisation et en créer en fonction des besoins.

16 Module : Installation d'active Directory 15 Arborescences et forêts Illustrer la manière dont les domaines constituent des arborescences et des forêts. Le premier domaine Windows 2000 que vous créez est le domaine racine. Nwtraders.msft Nwtraders.msft Approbations transitives bidirectionnelles Forêt China. China. Contoso.msft (racine) Contoso.msft Arborescence Japan. Japan. Contoso.msft Arborescence China. China. Nwtraders.msft Nwtraders.msft Japan. Japan. Nwtraders.msft Nwtraders.msft Domaine Windows NT NT Approbation non transitive unidirectionnelle Conseils pédagogiques Cette est animée. Au départ, elle montre un seul domaine. Lorsque vous parlerez des arborescences, cliquez pour ajouter des domaines à la. Lorsque vous traiterez des forêts, cliquez pour ajouter une seconde arborescence. Lorsque vous discuterez des approbations non transitives unidirectionnelles, cliquez pour ajouter une approbation unidirectionnelle. Lorsque vous parlerez des approbations transitives bidirectionnelles, cliquez pour ajouter des approbations bidirectionnelles. Le premier domaine Windows 2000 que vous créez est le domaine racine de la forêt, qui contient la configuration et le schéma de la forêt. Des domaines lui sont ajoutés pour former la structure de l'arborescence ou la structure de la forêt, selon les exigences pour les noms de domaine. Voici quelques raisons justifiant la création de plusieurs domaines : des contraintes différentes en matière de mots de passe, selon les organisations ; un grand nombre d'objets ; des noms de domaine Internet différents ; un meilleur contrôle de la duplication ; l'administration décentralisée du réseau. Arborescences Une arborescence est une organisation hiérarchique de domaines Windows 2000 partageant un espace de noms contigu. Lorsque vous ajoutez un domaine à une arborescence, le nouveau domaine est un domaine enfant d'un domaine parent existant. Le nom d'un domaine enfant est combiné au nom de son domaine parent pour former son nom DNS. Par exemple, Contoso, Ltd., dont le domaine Active Directory actuel est Contoso.msft, a fait l'acquisition de deux nouvelles sociétés, une en Chine et l'autre au Japon. Pour permettre l'administration des domaines dans les langues de chacun de ces pays, la société décide d'ajouter deux nouveaux domaines à l'arborescence actuelle du domaine plutôt que de créer des unités d'organisation dans le domaine existant. Ainsi, les domaines obtenus, China.Contoso.msft et Japan.Contoso.msft, constituent un espace de noms contigu dont la racine est Contoso.msft. L'administrateur peut accorder aux comptes appartenant à n'importe lequel des trois domaines de l'arborescence des autorisations d'accès aux ressources.

17 16 Module 3 : Installation d'active Directory Forêts Une forêt est un regroupement d'arborescences qui ne partagent pas un espace de noms contigu. Les arborescences d'une forêt partagent une configuration, un schéma et un catalogue global communs. Par défaut, le nom du domaine racine de la forêt est utilisé pour désigner une forêt donnée. Chaque arborescence d'une forêt dispose d'un espace de noms unique qui lui est propre. Par exemple, Contoso, Ltd. crée une société distincte nommée Northwind Traders. Contoso, Ltd. décide de lui affecter un nouveau nom de domaine Active Directory, Nwtraders.msft. Les deux sociétés ne partagent aucun espace de noms commun ; pourtant, en ajoutant un nouveau domaine Active Directory en tant que nouvelle arborescence d'une forêt existante, les deux sociétés sont en mesure de partager des ressources et des fonctions administratives. Relations d'approbation Active Directory prend en charge deux formes de relations d'approbation : les approbations non transitives unidirectionnelles et les approbations transitives bidirectionnelles. Approbations non transitives unidirectionnelles Dans une relation d'approbation unidirectionnelle, si le domaine A approuve le domaine B, l'inverse ne se vérifie pas automatiquement. Dans une relation d'approbation non transitive, si le domaine A approuve le domaine B et que le domaine B approuve le domaine C, le domaine A n'approuve pas automatiquement le domaine C. Les réseaux Windows NT utilisent des relations d'approbation non transitives unidirectionnelles. Vous créez manuellement ces relations entre les domaines existants. Dans un large réseau, cette forme d'approbation impose une charge administrative importante. Active Directory prend en charge les approbations non transitives unidirectionnelles pour les connexions aux réseaux Windows NT. Vous pouvez également créer des approbations non transitives unidirectionnelles entre des domaines Active Directory. Par exemple, si vous voulez autoriser un partenaire externe à accéder lors d'un projet commun aux ressources d'un domaine particulier, vous devez créer une relation d'approbation non transitive unidirectionnelle entre les domaines interne et externe. Approbations transitives bidirectionnelles Dans une relation d'approbation bidirectionnelle, si le domaine A approuve le domaine B, le domaine B approuve le domaine A. Dans une relation d'approbation transitive, si le domaine B approuve le domaine A et que le domaine C approuve également le domaine A, le domaine B approuve automatiquement le domaine C, de même que le domaine C approuve automatiquement le domaine B. Lorsqu'il existe une approbation transitive bidirectionnelle entre deux domaines, vous pouvez accorder des autorisations sur des ressources d'un des domaines à des comptes d'utilisateur et de groupe de l'autre domaine, et inversement. Les relations d'approbation transitives bidirectionnelles sont les relations par défaut entre les domaines Windows 2000.

18 Module : Installation d'active Directory 17 Schéma Expliquer le rôle du schéma dans Active Directory. Exemples de classes d'objets : Disponible dynamiquement, peut être mis à jour, protégé par DACL Le schéma définit tous les objets Active Directory. Ordinateurs Utilisateurs Serveurs Les attributs d'utilisateurs peuvent contenir : accountexpires badpasswordtime mail name Exemples d'attributs : Liste d'attributs accountexpires badpasswordtime mail caconnect dhcptype efspolicy fromserver governsid Name Le schéma du service d'annuaire Active Directory contient les définitions de tous les objets, tels que les ordinateurs, les utilisateurs et les imprimantes stockés dans Active Directory. Il existe deux types de définitions dans le schéma : les classes et les attributs. Les classes, également appelées classes d'objets, décrivent les objets d'annuaire qui peuvent être créés. Chaque classe est une collection d'attributs. Les attributs sont définis indépendamment des classes. Chaque attribut est défini une seule fois et peut être utilisé dans plusieurs classes. Par exemple, l'attribut Description est utilisé dans de nombreuses classes, mais il n'est défini qu'une seule fois dans le schéma, afin d'en garantir la cohérence. Lorsque vous créez un objet, les attributs de cet objet contiennent des informations qui décrivent l'objet. Les utilisateurs peuvent rechercher des objets dans Active Directory en recherchant des attributs spécifiques. Par exemple, un utilisateur peut rechercher une imprimante dans un bâtiment donné en recherchant l'attribut Emplacement de la classe d'objet des imprimantes. Dans Windows 2000, il n'y a qu'un seul schéma pour l'ensemble de la forêt, de sorte que tous les objets créés dans Active Directory se conforment aux mêmes règles. Lorsque des modifications sont apportées au schéma, elles sont dupliquées sur chaque contrôleur de domaine de la forêt. Le schéma est stocké dans une base de données (contrairement aux annuaires, qui comportent un schéma conservé sous forme de fichier texte et lu au démarrage). Ce stockage dans une base de données signifie que le schéma : peut être mis dynamiquement à la disposition des applications utilisateur ; peut être mis à jour dynamiquement ; peut utiliser des listes de contrôle d'accès discrétionnaires (DACL, Discretionary Access Control List) pour protéger l'ensemble des classes et des attributs.

19 18 Module : Installation d'active Directory Logiquement, le schéma est stocké dans une partition d'annuaire de la base de données Active Directory. Une partition d'annuaire est une unité de duplication. Le schéma est traité comme un objet Active Directory, dont le nom complet est le suivant : CN=schéma, CN=configuration, DC=nom_domaine, DC=racine_domaine Le fichier de la base de données Active Directory s'appelle Ntds.dit et se trouve dans racine_système\ntds. Outre le schéma, ce fichier contient toutes les informations stockées dans Active Directory. Lorsque vous installez Active Directory sur le premier contrôleur de domaine de votre réseau, un schéma par défaut est créé avec la plupart des définitions d'objet nécessaires à un réseau.

20 Module : Installation d'active Directory 19 Structure physique Présenter les composants fondamentaux de la structure physique d'active Directory. La structure physique d'active Directory est séparée de sa structure logique. Sites Contrôleurs de domaine Domaine Site Dans Active Directory, la structure logique est séparée de la structure physique. Vous utilisez la structure logique pour organiser vos ressources réseau, tandis que vous utilisez la structure physique pour configurer et gérer votre trafic réseau. La structure physique d'active Directory se compose de sites et de contrôleurs de domaine. La structure physique d'active Directory définit le lieu et le moment où est généré le trafic lié à la duplication et aux ouvertures de session. Pour être en mesure d'optimiser le trafic réseau et le processus d'ouverture de session, il est essentiel de comprendre les composants physiques d'active Directory. Par ailleurs, ces informations peuvent vous aider à résoudre certains problèmes de duplication et d'ouverture de session.