Chapitre 1: Introduction à l’infrastructure Active Directory Module S44

Chapitre 1: IntroductIon à l’Infrastructure actIve dIrectory

I. Présentation d’Active Directory

Active Directory permet de centraliser, de structurer, d’organiser et de contrôler les
ressources réseau dans les environnements Windows 2000/2003/2008. La structure Active
Directory permet une délégation de l’administration très fine pouvant être définie par types
d’objets.
1. Définition d’Active Directory
Active Directory sert d’annuaire des objets du réseau, il permet aux utilisateurs de localiser,
de gérer et d’utiliser facilement les ressources.
Il permet de réaliser la gestion des objets sans liens avec la disposition réelle ou les protocoles
réseaux employés. Active Directory organise l’annuaire en sections, ce qui permet de suivre le
développement d’une société allant de quelques objets à des millions d’objets.
Combiné aux stratégies de groupes, Active directory permet une gestion des postes distants
de façon complètement centralisée.
2. Objets Active Directory
Active Directory stocke des informations sur les objets du réseau. Il en existe de plusieurs
types: Serveurs, domaines, sites, utilisateurs, ordinateurs, imprimantes, …
Avec chaque objet, sont stockées des informations et des propriétés qui permettent
d’effectuer par exemple des recherches plus précises (emplacement d’une imprimante).
3. Schéma Active Directory
Le schéma Active Directory stocke la définition de tous les objets d’Active Directory (ex :
nom, prénom pour l’objet utilisateur).
Il n’y a qu’un seul schéma pour l’ensemble de la forêt, ce qui permet une homogénéité de
l’ensemble des domaines.
Le schéma comprend deux types de définitions :
 Les classes d’objets : Décrit les objets d’Active Directory qu’il est possible de créer.
Chaque classe est un regroupement d’attributs.
 Les attributs : Ils sont définis une seul fois et peuvent être utilisés dans plusieurs classes
(ex: Description).
Le schéma est stocké dans la base de données d’Active Directory ce qui permet des
modifications dynamiques exploitables instantanément.
4. Catalogue global
Le catalogue global contient une partie des attributs les plus utilisés de tous les objets Active
Directory. Il contient les informations nécessaires pour déterminer l’emplacement de tout objet de
l’annuaire.

1 Prof : IDOUGLID
Chapitre 1: Introduction à l’infrastructure Active Directory Module S44

Lecture seulement

Catalogue
global
Le catalogue global permet aux utilisateurs d’effectuer 2 tâches importantes :
 Trouver des informations Active Directory sur toutes les forêts, quel que soit
l’emplacement des ces données.
 Utiliser des informations d’appartenance à des groupes universels pour ouvrir une session
sur le réseau.
Un serveur de catalogue global est un contrôleur de domaine qui conserve une copie du
catalogue global et peut ainsi traiter les requêtes qui lui sont destinées. Le premier contrôleur de
domaine est automatiquement le serveur de catalogue global. Il est possible de configurer d’autres
contrôleurs de domaine en serveur de catalogue global afin de réguler le trafic.
5. Protocole LDAP
LDAP (Lightweight Directory Access Protocol) est un protocole du service d’annuaire utilisé
pour interroger et mettre à jour Active Directory.
Chaque objet de l’annuaire est identifié par une série de composants qui constituent son chemin
d’accès LDAP au sein d’Active Directory
(CN=ahmed alami, OU=Direction, DC=bts, DC=ma).
 DC : Composant de domaine (ma, sri, bts, …)
 OU : Unité d’organisation (contient des objets)
 CN : Nom usuel (Nom de l’objet)
Les chemins d’accès LDAP comprennent les éléments suivants :
Les noms uniques : le nom unique identifie le domaine dans lequel est situé l’objet, ainsi que
son chemin d’accès complet
(CN=Ahmed ALAMI,OU=Ventes,OU=Finances,DC=bts,DC=ma )
Les noms uniques relatifs : partie du nom unique qui permet d’identifier l’objet dans son
conteneur (ex : Ahmed ALAMI).

II. Structure logique d’Active Directory

La structure logique d’Active Directory offre une méthode efficace pour concevoir une
hiérarchie.
Les composants logiques de la structure d’Active Directory sont les suivants :

2 Prof : IDOUGLID
Chapitre 1: Introduction à l’infrastructure Active Directory Module S44

1. Les Domaines :
Un domaine est un ensemble d’ordinateurs et/ou d’utilisateurs qui partagent une même base de
données d’annuaire. Un domaine a un nom unique sur le réseau.
Dans un domaine Windows 2000/2003/2008, tous les serveurs maintenant le domaine
(contrôleurs de domaine) possèdent une copie de l’annuaire d’Active Directory. Chaque contrôleur
de domaine est capable de recevoir ou de dupliquer les modifications de l’ensemble de ses
homologues du domaine.
2. Les Unités d’organisation
Une unité d’organisation est un objet conteneur utilisé pour organiser les objets au sein du
domaine. Il peut contenir d’autres objets comme des comptes d’utilisateurs, des groupes, des
ordinateurs, des imprimantes ainsi que d’autres unités d’organisation.
Les unités d’organisation permettent aussi de faciliter l’affectation des droits et la délégation
de pouvoir selon l’organisation des Objets.
3. Les Arborescences
Le premier domaine installé est le domaine racine de la forêt. Au
fur et à mesure que des domaines lui sont ajoutés, cela forme la
structure de l’arborescence ou la structure de la forêt, selon les
exigences pour les noms de domaine.
Une arborescence est un ensemble de domaines partageant un nom
commun. Par exemple, bts.ma est le domaine parent du domaine
sri.bts.ma et du domaine gi.bts.ma.
La relation d’approbation entre un domaine enfant et son domaine parent est de type
bidirectionnel transitif.

3 Prof : IDOUGLID
Chapitre 1: Introduction à l’infrastructure Active Directory Module S44

4. Les forêts :
Une forêt est un ensemble de domaines (ou
d’arborescences) n’ayant pas le même nom commun mais
partageant un schéma et un catalogue global commun. Par
exemple, une même forêt peut rassembler deux
arborescences différentes comme laboms.com et
supinfo.lan.
Par défaut, les relations entre les arborescences ou
les domaines au sain d’une forêt sont des relations
d’approbation bidirectionnelles transitives. Il est
possible de créer manuellement des relations
d’approbation entre deux domaines situés dans deux
forêts différentes. De plus Windows Server 2003
propose un niveau fonctionnel permettant de définir des
relations d’approbations entre différentes forêts
5. Les rôles de maîtres d’opération
 Avec Windows NT 4.0, les contrôleurs de domaine suivent un schéma maître/esclave. on
distingue:
 Les contrôleurs de domaine primaires ou PDC (Primary Domain Controler) accessibles en
lecture/écriture
 Les contrôleurs de domaine secondaires ou BDC (Backup Domain Controler).
 Dans un domaine Windows 2000/2003/2008, cette notion n’existe plus, on parle de
contrôleurs de domaine multi-maîtres. En effet, les modifications d’Active Directory
peuvent être faîtes sur n’importe quel contrôleur de domaine. Cependant, il existe des
exceptions pour lesquelles les modifications sont réalisées sur un contrôleur de domaine
spécifiques.
Ces exceptions sont nommées rôles de maître d’opération et sont au nombre de cinq :
 Contrôleur de schéma : le seul contrôleur de domaine habilité à modifier et à mettre à jour
le schéma.
 Maître d’attribution des noms de domaine : Il permet d’ajouter ou supprimer un domaine
dans une forêt.
 Emulateur PDC : Il ajoute la compatibilité avec les BDC sous Windows NT 4.0.
 Maître d’identificateur relatif ou maître RID : Il distribue des plages d’identificateurs
relatifs (RID) à tous les contrôleurs de domaine pour éviter que deux objets différents
possèdent le même RID.
 Maître d’infrastructure : Il permet de mettre à jour les éventuelles références d’un objet
dans les autres domaines lorsque cet objet est modifié (déplacement, suppression,…).

III. Structure Physique d’Active Directory

Dans Active Directory, la structure logique et la structure
physique sont distinctes. La structure physique permet d’optimiser
les échanges d’informations entre les différentes machines en
fonction des débits assurés par les réseaux qui les connectent.
1. Contrôleurs de domaine
Un contrôleur de domaine est un ordinateur exécutant
Windows 2008 Server (ou 2003/2000 Server) qui stocke un

4 Prof : IDOUGLID
Chapitre 1: Introduction à l’infrastructure Active Directory Module S44

répliqua de l’annuaire. Il assure l’authentification et l’ouverture des sessions des utilisateurs, ainsi
que les recherches dans l’annuaire. Il assure aussi la propagation des modifications faites sur
l’annuaire.
Un domaine peut posséder un ou plusieurs contrôleurs de domaine. Dans le cas d’une société
constituée de plusieurs entités dispersées géographiquement, on aura besoin d’un contrôleur de
domaine dans chacune de ses entités.
2. Sites et liens de sites
Un site est une combinaison d’un ou plusieurs sous réseaux connectés entre eux par une
liaison à haut débit fiable (liaison LAN). Définir des sites permet à Active Directory d’optimiser
la duplication et l’authentification afin d’exploiter au mieux
les liaisons les plus rapides.
En effet, les différents sites d’une entreprise sont
souvent reliés entres eux par des liaisons bas débit et
dont la fiabilité est faible (liaisons WAN). La création de
liens de sites permet de prendre en compte la topologie
physique du réseau pour les opérations de réplication. Un
lien de site avec des paramètres spécifiques. Ces
paramètres peuvent prendre en compte le coût de la
liaison, la planification ainsi que l’intervalle de temps entre
deux réplications.
Dans l’exemple ci-contre, on dispose de deux sites : Paris et Martinique. Ces deux sites sont
reliés par une liaison WAN proposant une bande passante de 128kb/s. A l’intérieur du site Paris, les
contrôleurs de domaine sont interconnectés entre eux par le biais d’un commutateur gigabit (avec
une bande passante de 1000 Mb/s).
En créant un lien de site, il est possible de forcer la réplication entre les deux sites à
s’effectuer toutes les 90 minutes (par exemple uniquement entre 20 :00 et 6 :00 du matin).

IV. Méthodes d’administration d’un réseau Windows 2008

1. Utilisation d’Active Directory pour la gestion centralisée
Active Directory permet à un seul administrateur de centraliser la gestion et l’administration
des ressources du réseau.
Active Directory permet aussi d’organiser les objets de façon hiérarchique grâce aux
conteneurs comme les unités organisationnelles, les domaines ou les sites. Il est ainsi possible
d’appliquer certains paramètres à un ensemble d’ordinateurs et d’utilisateurs.
2. Les outils d’administration d’Active Directory
L’administration du service d’annuaire Active Directory se passe par le biais de différentes
consoles MMC :
 Utilisateurs et ordinateurs Active Directory : C’est le composant le plus utilisé pour
accéder à l’annuaire. Il permet de gérer les comptes d’utilisateurs, les comptes
d’ordinateurs, les fichiers et les imprimantes partagés, les unités d’organisation …
 Sites et Services Active Directory : Ce composant permet de définir des sites, des liens
de sites et de paramétrer la réplication Active Directory.
 Domaines et approbations Active Directory : Ce composant permet de mettre en place les
relations d’approbations et les suffixes UPN. Il propose aussi d’augmenter le niveau

5 Prof : IDOUGLID
Chapitre 1: Introduction à l’infrastructure Active Directory Module S44

fonctionnel d’un domaine ou d’une forêt.

 Schéma Active Directory : Ce composant permet de visualiser les classes et les attributs
de l’annuaire.
 Gestion des Stratégies de Groupe : Ce composant permet de centraliser l’administration
des stratégie de groupe d’une forêt, de vérifier le résultat d’une stratégie de groupe ou
bien encore de comparer les paramètres de deux stratégies de groupe.
 ADSI Edit : (adsiedit.msc) Ce composant permet de visualiser l’arborescence LDAP réelle du
service d’annuaire. Elle peut s’avérer utile pour lire ou modifier certains attributs ou
certains objets de l’annuaire.

En complément des divers composants logiciels enfichables énumérés ci-dessus, divers outils
sont mis à la disposition de l’administrateur pour gérer Active Directory :
 Lpc.exe : Cet outil permet d’envoyer manuellement des requêtes LDAP vers n’importe quel
annuaire LDAP (Active Directory, NDS, Open LDAP,…). Il peut être utilisé pour vérifier la
connectivité entre une machine et l’annuaire ou bien pour lister des informations bien
spécifiques dans une partie de l’annuaire. LPC affiche l’intégralité des données échangées
entre le poste client et le service d’annuaire.
 Dsadd, dsmod, dsrm, dsget, dsquery, dsmove : Ces outils en ligne de commande
permettent respectivement d’ajouter, de modifier, de supprimer, de lister ou de déplacer
des objets dans l’annuaire. Ils sont utilisés dans des scripts afin d’automatiser certaines
tâches administrativement lourdes.
 Ldifde : ’outil en ligne de commande LDIFDE (LDAP Data Interchange Format Directory
Export) permet d’importer des données à partir d’un fichier texte vers Active Directory ou
bien d’exporter des données à partir d’Active Directory vers un fichier texte.
 Csvde : L’outil en ligne de commande CSVDE est utilisé pour importer des comptes
d’utilisateurs à partir d’un fichier texte vers Active Directory.
 WSH : WSH pour Windows Scripts Host est un environnement permettant d’exécuter des
scripts en VBS ou en JScript.sur une plateforme Windows 9x ou NT.

3. Gestion de l’environnement utilisateur

A l’aide des stratégies de groupe de Windows 2008, il est possible de restreindre les actions
des utilisateurs directement à partir du serveur.
 Contrôle des actions que peuvent réaliser les utilisateurs.
 Centralisation de la gestion de l’installation des applications et des services.
 Configuration des données utilisateur pour suivre les utilisateurs.

4. Délégation du contrôle d’administration

La hiérarchie mise en place au sein d’Active Directory permet une délégation fine toujours
basée sur les conteneurs permettant la délégation sur un ensemble défini de machines et
d’utilisateurs.

6 Prof : IDOUGLID
Chapitre 2 : Implémentation d’une structure de forêt et de domaine Active Directory Module S44

Chapitre 2 : ImplémentatIon d’une structure de forêt et de

domaine Active Directory

I. Installation d’Active Directory

Un domaine désigne l’unité administrative de base d’un réseau Windows 2008.
Le premier domaine d’une nouvelle forêt créé dans Active Directory représente le domaine
racine de l’ensemble de la forêt. La création d’un domaine s’effectue à l’aide de la commande
dcpromo.
1. Les pré requis pour installer Active Directory
Voici la configuration requise pour pouvoir installer Active Directory :
 Un ordinateur exécutant Windows 2008 Standard Edition, Enterprise Edition ou Datacenter
Edition. Attention, le service d’annuaire Active Directory ne peut pas être installé sur
Windows 2008 Server Web Edition.
 250 Mo d’espace libre sur une partition ou un volume NTFS
 Les paramètres TCP/IP configuré pour joindre un serveur DNS
 Un serveur DNS faisant autorité pour gérer les ressources SRV
 Des privilèges administratifs suffisants pour créer un domaine
Vous pouvez afficher les serveurs DNS faisant autorité pour un domaine donné en tapant la
commande
nslookup -type=ns nom.du.domaine.
2. Le processus d’installation d’Active Directory
L’assistant d’installation réalise diverses tâches successives :
 Démarrage du protocole de sécurité et définition de la sécurité
 Création des partitions Active Directory, de la base de données et des fichiers journaux
 Création du domaine racine de la forêt
 Création du dossier SYSVOL
 Configuration de l’appartenance au site du contrôleur de domaine
 Activation de la sécurité sur le service d’annuaire et sur les dossiers de réplication de fichiers.
 Activation du mot de passe pour le mode de restauration
3. Les étapes post installation
Une fois que l’installation d’Active Directory terminée, il faut vérifier la présence et le bon
fonctionnement du service d’annuaire. Cela passe par plusieurs étapes :
 Contrôler la création du dossier SYSVOL et de ses partages
 Vérifier la présence de la base de données d’annuaire et des fichiers journaux
(C:\windows\ntds\)
 Contrôler la structure Active Directory par défaut
 Analyser les journaux d’évènements

II. Implémentation du système DNS pour la prise en charge d’Active Directory

Les infrastructures Windows 2008 intègrent le système DNS et le service d’annuaire Active
Directory. Ces deux éléments sont liés: En effet, le système DNS est un pré requis pour installer
Active Directory.

7 Prof : IDOUGLID
Chapitre 2 : Implémentation d’une structure de forêt et de domaine Active Directory Module S44

1. Le rôle du Système DNS dans Active Directory

Le système DNS fournit les principales fonctions ci-dessous sur un réseau exécutant Active
Directory :
 Résolution de noms : le système DNS résout les noms d’hôtes en adresses IP.
 Convention de dénomination : Active Directory emploie les conventions de dénomination du
système DNS. Ainsi, sri.bts.ma peut être un nom de domaine DNS et/ou un nom de domaine
Windows 2000.
 Localisation des composants physiques d’Active Directory : Lors de l’ouverture d’une
session, une machine cliente doit s’adresser à un contrôleur de domaine, seul capable de
l’authentifier. Le système DNS pourra lui fournir l’emplacement de l’un de ces contrôleurs de
domaine.
2. Les zones DNS intégrées à Active Directory
Contrairement aux zones DNS classiques qui stockent les enregistrements de ressources dans
des fichiers, les zones DNS intégrées à Active Directory stockent les enregistrements de
ressources directement dans le service d'annuaire Active Directory.
Seules les zones primaires et les zones de stub peuvent être intégrées à Active Directory.
De plus, seuls les contrôleurs de domaine jouant aussi le rôle de serveur DNS peuvent héberger
des zones intégrées à Active Directory.
Les zones DNS intégrées à Active Directory sont intéressantes puisqu'elles permettent de
renforcer la sécurité du processus de résolution de noms de diverses manières :
 Les zones intégrées à Active Directory peuvent être dupliquées sur tous les contrôleurs de
domaine.
Cela permet d'assurer la tolérance de panne, puisque si un contrôleur de domaine connaît une
défaillance, alors la résolution de noms sera toujours assurée.
 L'intégration à Active Directory sécurise les transactions entres les serveurs DNS. En
effet, les zones DNS intégrées au service d'annuaire utilisent la réplication Active
Directory qui s'avère plus sécurisé que les échanges AXFR et IXFR réalisés entre des
serveurs DNS utilisant des zones standard.
 Les zones intégrées à Active Directory permettent de sécuriser les mises à jour
automatiques des ordinateurs clients (seuls les ordinateurs clients équipés de Windows
2000/XP/2003/7/vista/2008 peuvent faire des mises à jour automatiques). En effet, si les
mises à jour automatiques sont activées, seuls les ordinateurs clients membres du domaine
peuvent mettre à jour automatiquement leurs enregistrements A et PTR.
3. Les enregistrements de ressources crées lors de l’installation d’Active
Directory
Lors de l’installation d’Active Directory, la structure de la zone DNS de recherche directe est
modifiée. Il convient de vérifier la présence de ces enregistrements à la fin du processus
d’installation d’Active Directory.
Les sous domaine _tcp, _udp et _sites contiennent les enregistrements SRV faisant références
à tous les contrôleurs de domaine de la forêt.
Ce sont ces enregistrements qui permettent aux ordinateurs clients de connaître l’emplacement
des contrôleurs de domaine. De plus ces enregistrements sont aussi utilisés par le processus de
réplications.
Le sous domaine _msdcs permet notamment de trouver les contrôleurs de domaine ayant un
rôle de maître d’opération (exemple : émulateur PDC).
8 Prof : IDOUGLID
Chapitre 2 : Implémentation d’une structure de forêt et de domaine Active Directory Module S44

III. Les différents niveaux fonctionnels

Le niveau fonctionnel d’un domaine ou d’une forêt définit l’ensemble des fonctionnalités
supportées par le service d’annuaire Active Directory dans ce domaine ou dans cette forêt.
1. Les niveaux fonctionnels de domaine
Le niveau fonctionnel par défaut d’un domaine est demandé lors de l’installation d’Active
Directory. Il existe d’autres niveaux fonctionnels disponibles. Voici leurs caractéristiques :
 Windows 2000 mixte : supporte la prise en charge des contrôleurs secondaires de domaine
Windows NT 4.0 (BDC)
 Windows 2000 natif : supporte les groupes universels, les imbrications de groupes et
l’historique SID
 Windows Server 2003 : supporte le changement du nom d’un contrôleur de domaine, la mise à
jour du cachet d'ouverture de session, le numéro de version des clés Kerberos KDC…
 Windows Server 2008 : Support de la réplication via DFS (Distributed File System) pour
SYSVOL et prise en charges des stratégies de mot de passe multiples.
 Windows Server 2008 R2 : Diverses améliorations.
2. L’augmentation d’un niveau fonctionnel de domaine
Il est possible d’augmenter le niveau fonctionnel d’un domaine. Cette opération se réalise dans
la console Domaines et approbations Active Directory (accessible en tapant domain.msc dans la
boite de dialogue exécuter) ou bien dans la console Utilisateurs et ordinateurs Active Directory
(accessible en tapant dsa.msc dans la boite de dialogue exécuter). Pour réaliser cette opération,
vous devez être membre du groupe admins du domaine ou administrateurs de l’entreprise.
Avant d’augmenter le niveau fonctionnel d’un domaine, il est nécessaire de vérifier que les
contrôleurs de domaines exécutent le système d’exploitation requis. En effet, une fois le niveau
fonctionnel augmenté, il est impossible de revenir en arrière sans désinstaller le service d’annuaire
sur l’ensemble des contrôleurs de domaine du domaine. Voici les la liste des systèmes d’exploitation
utilisables pour chaque niveau fonctionnel :
 Windows 2000 mixte : contrôleurs de domaine exécutant Windows NT 4.0, 2000 Server ou
2003 Server.
 Windows 2000 natif : contrôleurs de domaine exécutant Windows 2000 Server ou 2008
Server.
 Windows Server 2003 : contrôleurs de domaine exécutant Windows 2008 Server uniquement.
 Windows Server 2003 version préliminaire : contrôleurs de domaine exécutant NT 4.0 et des
contrôleurs de domaine sous Windows 2008 server. Ce niveau fonctionnel est uniquement
utilisé dans le cadre d’une migration de Windows NT4 vers Windows Server 2008 (ou vers
Windows Server 2008 R2).
 Windows Server 2008 : Aucune nouveauté
 Windows Server 2008 R2 : Activation de la corbeille Active Directory
Ainsi, pour augmenter le niveau fonctionnel d’un domaine vers le niveau Windows Server 2003
par exemple, il faudra impérativement effectuer une mise à jour du système d’exploitation de tous
contrôleurs de domaine du domaine ou de la forêt vers Windows Server 2003 minimum.
De plus, une fois le niveau fonctionnel du domaine augmenté, les contrôleurs de domaine
exécutant des versions antérieures du système d'exploitation ne peuvent pas être introduits dans
le domaine. Par exemple, si vous augmentez le niveau fonctionnel du domaine à Windows Server
2008, les contrôleurs de domaine exécutant Windows Server 2003 ne peuvent plus être ajoutés à
ce domaine.

9 Prof : IDOUGLID
Chapitre 2 : Implémentation d’une structure de forêt et de domaine Active Directory Module S44

3. Les niveaux fonctionnels de forêt

Le niveau fonctionnel d'une forêt active des fonctionnalités spécifiques dans tous les domaines
de cette forêt. Voici les niveaux fonctionnels disponibles pour une forêt et la liste des SE
utilisables pour chaque niveau :
 Windows 2000: contrôleurs de domaine exécutant Windows NT 4.0, 2000 Server ou 2003
Server.
 Windows Server 2003 provisoire : contrôleurs de domaine Windows NT 4.0 ou 2003 Server.
 Windows Server 2003 : contrôleurs de domaine Windows Server 2003, 2008 et 2008 R2
uniquement.
 Windows Server 2008 : contrôleurs de domaine Windows Server 2008 et 2008 R2
uniquement.
 Windows Server 2008 R2 : contrôleurs de domaine exécutant Windows Server 2008 R2
uniquement.
Les niveaux Windows 2000 et Mode forêt provisoire Windows Server 2003 ne proposent
aucunes fonctions spéciales au niveau de la forêt. En revanche, le niveau Win Server 2003 met en
place les avantages suivants :
 Catalogue global de réglage de la réplication
 Objets schéma défunts
 Approbation de forêt
 Réplication de valeur liée
 Changement du nom de domaine
 Algorithmes de réplication avancés
 …..

4. L’augmentation d’un niveau fonctionnel de forêt

Lorsque tous les domaines d’une forêt ont le même niveau fonctionnel, il est possible
d’augmenter le niveau fonctionnel de la forêt. Seul un membre du groupe administrateurs de
l’entreprise peut réaliser cette opération.

IV. Les relations d’approbation

Les relations d’approbations permettent à un utilisateur d’un domaine donné d’accéder aux
ressources de son domaine, mais aussi d’autres domaines (les domaines approuvés). Les relations
d’approbations se différencient de par leur type (transitif ou non transitif) et de par leur direction
(unidirectionnel entrant, unidirectionnel sortant, bidirectionnel).
1. Transitivité de l’approbation
Soient trois domaines distincts reliés entres eux par les deux relations suivantes :
 Le domaine A approuve directement le domaine B. Ainsi un utilisateur du domaine A peut
accéder à toutes les ressources du domaine A et du domaine B.
 Le domaine B approuve directement le domaine C. Ainsi un utilisateur du domaine B peut
accéder à toutes les ressources du domaine B et du domaine C.
Si les deux relations d’approbations de A à B et de B à C sont transitives, alors le domaine A
approuve indirectement le domaine C. Dans ce cas de figure un utilisateur du domaine A peut
accéder à toutes les ressources du domaine A, du domaine B et du domaine C.
Si les deux relations d’approbations de A à B et de B à C ne sont pas transitives, alors le
domaine A n’approuve pas le domaine C. Dans ce cas de figure, un utilisateur du domaine A ne peut
pas accéder aux ressources du domaine C.

10 Prof : IDOUGLID
Chapitre 2 : Implémentation d’une structure de forêt et de domaine Active Directory Module S44

2. Direction de l’approbation
Lors de la création d’une relation d’approbation manuelle sous Windows Server 2008, trois
directions d’approbation différentes sont utilisables.

Explication :

Si vous avez configuré une relation d’approbation unidirectionnelle

entrante entre le domaine A et le domaine B, alors les utilisateurs du domaine
A peuvent être authentifiés dans le domaine B.

Si vous avez configuré une relation d’approbation unidirectionnelle

sortante entre le domaine A et le domaine B, alors les utilisateurs du domaine
B peuvent être authentifiés dans le domaine A.

Si vous avez configuré une relation d’approbation bidirectionnelle entre le

domaine A et le domaine B, alors les utilisateurs de chaque domaine peuvent
être authentifiés dans les deux domaines.

3. Les relations d’approbations

Approbation racine/arborescence
Lorsqu’une nouvelle arborescence est crée au sein d’une
forêt, une relation d’approbation bidirectionnelle transitive lie
automatiquement cette nouvelle arborescence au domaine
racine de la forêt.
Dans exemple ci-contre, l’arborescence bts.ma est liée à
ita.chich, le domaine racine de la forêt, par le biais d’une
relation racine/arborescence.
Approbation parent-enfant
Une approbation parent-enfant est une relation d’approbation
bidirectionnelle transitive. Elle est automatiquement créée lorsqu’un
nouveau domaine est ajouté à une arborescence.
Dans l’exemple ci-contre, on ajoute le sous domaine sri.bts.ma à
l’intérieur du domaine bts.ma. Les deux domaines sont automatiquement
reliés par une relation parent-enfant. Ainsi les utilisateurs du domaine
bts.ma peuvent être authentifiés dans le domaine sri.bts.ma et vice-versa.

11 Prof : IDOUGLID
Chapitre 2 : Implémentation d’une structure de forêt et de domaine Active Directory Module S44

Approbation raccourcie
Une approbation raccourcie est une relation d’approbation
partiellement transitive. Elle doit être définie manuellement ainsi
que sa direction. Les relations d’approbation raccourcie
permettent de réduire les sauts de l’authentification Kerberos.
En effet, si un utilisateur du domaine gi.bts.ma souhaite
s’authentifier dans le domaine compta.ita.chich, il doit passer par
deux approbations parent/enfant et par une approbation
racine/arborescence. L’approbation raccourcie permet donc
d’accélérer l’authentification inter-domaine.
Approbation externe
Une approbation externe est une relation
d’approbation non transitive. Elle doit être créée
manuellement et peut avoir une direction
unidirectionnelle ou bidirectionnelle.
L’approbation externe permet de relier des
domaines appartenant à deux forêts distinctes.

Approbation de domaine
Une approbation de domaine est une relation d’approbation dont la transitivité et la direction
doivent être paramétrées par l’administrateur.
L’approbation de domaine permet de relier un domaine sous Active Directory avec un domaine
Kerberos non Microsoft.
Approbation de forêt
Une approbation de forêt permet de relier l’intégralité des domaines de deux forêts.
Les approbations de forêt sont non transitives et leurs directions doivent être définies
manuellement. Les deux forêts doivent impérativement utiliser le niveau fonctionnel de forêt
Windows Server 2008. Il n’y a pas de transitivité entre les forêts.

12 Prof : IDOUGLID
Chap 3: Implémentation d'une structure d'unité d'organisation Module S44

Chap 3: Implémentation d'une structure d'unité d'organisation

I. Création et gestion d'unités d'organisation

1. Présentation de la gestion des unités d'organisation
La création et la gestion d’unités d’organisation passent par quatre phases très importantes :
 La planification : C’est la phase la plus importante car c’est à ce moment que vous allez
déterminer le système hiérarchique des objets les uns par rapport aux autres. Ce système
hiérarchique sera l’épine dorsale de votre système administratif. Vous devez prévoir aussi la
nomenclature de nom des UO à ce niveau.
 Le déploiement : C’est la phase de création des unités d’organisation sur le serveur, elle
comprend aussi la phase de déplacement des objets dans les unités d’organisation.
 La maintenance : C’est la phase d’exploitation des unités d’organisation une fois qu’elle seront
en production. Cela comprend toutes les modifications liées aux modifications courantes
d’organisation de l’entreprise.
 La suppression : Tous les objets dans Active Directory occupent un certain espace sur le
disque ainsi que sur le réseau lors des réplications.
2. Méthodes de création et de gestion des unités d'organisation (voir TP3)
Afin de pouvoir créer vos unités d’organisation, quatre méthodes sont à votre disposition :
 L’outil Utilisateurs et ordinateurs Active Directory : Cet outil graphique est le moyen le
plus rapide pour créer une unité d’organisation. Il atteint rapidement ces limites lorsque l’on
désire créer plus d’une cinquantaine de compte.
 Les outils en ligne de commande (dsadd, dsmod, drrm) : Ces outils permettent via ligne de
commande ou via script batch de créer des unités d’organisation.
Exemple :
dsadd ou "ou=SUPINFO Training Center, dc=supinfo, dc=lan" -u Administrateur -p *
 L’outil LDIFDE : Cet outil permet de faire de l’import et de la modification en masse à partir
d’un fichier texte. La plupart des moteurs LDAP permettent d’exporter vers ce format.
Exemple :
dn: OU=Labo-Cisco,DC=supinfo, DC=lan
changetype: delete
dn: OU=Labo-Microsoft, DC=supinfo, DC=lan
changetype: add
objectClass: organizationalUnit
 Les scripts VBS : Ces scripts permettent de faire de l’import d’unités d’organisation en
ajoutant des conditions pour la création de ces UO.
Exemple :
Set objDom = GetObject("LDAP://dc=supinfo,dc=lan")
Set objOU = objDom.Create("OrganizationalUnit", "ou=Salle A")
objOU.SetInfo

13 Prof : IDOUGLID
Chap 3: Implémentation d'une structure d'unité d'organisation Module S44

II. Délégation du contrôle administratif des unités d'organisation

Active Directory est un système intégrant la sécurisé : seuls les comptes ayant reçu les
permissions adéquates peuvent effectuer des opérations sur ces objets (ajout, modification, …).
Les administrateurs, en charge de cette affectation de permissions peuvent aussi déléguer des
tâches d’administration à des utilisateurs ou des groupes d’utilisateurs.
1. Sécurité des objets
 Dans Active Directory, chaque objet est sécurisé, ce qui signifie que l’accès a chacun d’eux est
cautionné par l’existence de permissions en ce sens.
 A chaque objet est associé un descripteur de sécurité unique qui définit les autorisations
d’accès nécessaires pour lire ou modifier les propriétés de cet objet.
 Le contrôle d’accès dans Active Directory repose non seulement sur les descripteurs de
sécurité des objets, mais aussi sur les entités de sécurité (par exemple un compte d’utilisateur
ou un compte de machine), et les identificateurs de sécurité (SID, dont le fonctionnement est
globalement identique à celui sous NT 4.0 et Windows 2000).
 Active Directory étant organisé hiérarchiquement, il est possible de définir des permissions
sur un conteneur et de voir ces permissions héritées à ses sous conteneurs et à ses objets
enfants (si on le souhaite). Grâce à cela, l’administrateur n’aura pas à appliquer les mêmes
permissions objet par objet, limitant ainsi la charge de travail, et le taux d’erreurs.
 Dans le cas où l’on définirait des permissions spécifiques pour un objet et que ces dernières
entrent en conflit avec des permissions héritées, ce seront les permissions héritées qui seront
appliquées.
 Dans certains cas, on ne souhaite pas que des permissions soient héritées, il est alors possible
de bloquer cet héritage. Par défaut, lors de la création d’un objet, l’héritage est activé.
1. Délégation de contrôle
Il est possible de déléguer un certain niveau d’administration d’objets Active Directory à
n’importe quel utilisateur, groupe ou unité organisationnelle.
Avec Active Directory, il suffira de cliquez avec le bouton droit sur l’UO dans laquelle on
souhaite lui déléguer l’administration d’une tâche et de sélectionner Déléguer le contrôle.
On pourra définir quelques paramètres comme les comptes concernés par cette délégation et
le type de délégation, dans notre cas, « Créer, supprimer et gérer des comptes d’utilisateur »
(On peut affiner en déléguant des tâches personnalisées comme par exemple uniquement le
droit de réinitialiser les mots de passe sur les objets de compte d’utilisateur de l’UO, …).

14 Prof : IDOUGLID
Chap. 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs Module S44

Chap. 4 : Implémentation de comptes d'utilisateurs, de groupes et

d'ordinateurs
Le service d’annuaire Active Directory distingue trois types de comptes de sécurité :
 Le compte d’utilisateur permet à un utilisateur physique d’ouvrir une session unique sur le
domaine et d’accéder aux ressources partagées.
 Le compte d’ordinateur permet d’identifier un ordinateur physique par le biais d’un
mécanisme d’authentification.
 Le compte de groupe permet de simplifier l’administration en regroupant des comptes
d’utilisateurs, d’ordinateurs ou bien d’autres comptes de groupes.

I. Implémentation de comptes d’utilisateurs

1. Présentation du nom d’utilisateur principal
 Un nom d’utilisateur principal ou UPN (User Principal Name) est un nom d’ouverture de
session. Il doit être unique au sein de la forêt. Il se décompose en deux parties séparées par
@ : Le préfixe UPN et le suffixe UPN

Exemple: pour [email protected]

o Le préfixe UPN est Ahmed
o Le suffixe UPN est bts.ma
 Le nom d’utilisateur principal n’est pas modifié lors du déplacement du compte d’utilisateur
vers un autre domaine car ce nom est unique dans la forêt. De plus Il peut être utilisé en tant
qu’adresse électronique car il a le même format qu’une adresse de messagerie standard.
 Un utilisateur peut toujours ouvrir une session à l’aide du nom d’ouverture de session
d’utilisateur pré-Windows 2000 (dans notre exemple BTS\Ahmed). En outre, Active
Directory autorise l’assignation de suffixes UPN supplémentaires à un foret Active Directory.
2. Le Routage des suffixes UPN
 Il est possible d’ajouter ou de supprimer des suffixes UPN dans la forêt grâce à la console
Domaines et approbations (accessible en tapant domain.msc dans la boite de dialogue
exécuter) ou bien par le biais d'un script. Seul un membre du groupe administrateurs de
l’entreprise est autorisé à modifier les suffixes UPN.
 La console Domaines et approbations permet aussi d’activer le routage des suffixes UPN. Le
routage des suffixes UPN est un mécanisme fournissant une résolution de noms UPN inter
forêts. Ainsi il est possible de définir quels suffixes UPN les utilisateurs de la forêt 1
pourront utiliser pour s’authentifier dans la forêt2. Bien entendu, les relations d’approbations
appropriées (approbation de forêt) doivent être définies pour permettre le routage des
suffixes UPN.

II. Implémentation de comptes de groupe

Les groupes permettent de simplifier la gestion de l’accès des utilisateurs aux ressources du
réseau. Les groupes permettent d’affecter en une seule action une ressource à un ensemble
d’utilisateurs au lieu de répéter l’action pour chaque utilisateur. Un utilisateur peut être membre de
plusieurs groupes. Les groupes se différencient par leur type et de par leur étendue.

1. Le type de groupe
Il existe deux types de groupes dans Active Directory :
15 Prof : IDOUGLID
Chap. 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs Module S44

 Les groupes de sécurité : permettent d’affecter des utilisateurs et des ordinateurs à des
ressources. Les groupes de sécurité permettent de :
 Assigner des droits utilisateurs
 Assigner des autorisations sur des ressources
 Permet aussi l'envoie de mail au groupe (comme les groupes de distribution)
 Les groupes de distribution : exploitables entre autres via un logiciel de messagerie. Il s’agit
d’une implémentation pour les serveurs de mail pour pouvoir envoyer des mails à un groupe
d’utilisateur. Il est limité à cette tâche et ne permettent aucune autre action.
2. L’Etendue de groupe
L’étendue d’un groupe va permettre de limiter l’accès à des ressources de la forêt.
On pourra par exemple décider qu’un certain nombre d’administrateurs pourront avoir accès à
toutes les ressources de la forêt (Groupe Universel) et que d’autres administrateurs aient un accès
à un domaine bien spécifique (Domaine Local).
Il existe trois types d’étendue de groupe : Domaine Local, Globale, Universelle
Le comportement de ces groupes évolue en fonction du niveau fonctionnel de la forêt Active
Directory. On peut généraliser par le fait qu'en mode mixte (compactibilité avec NT4) les
possibilités sont beaucoup plus restreintes qu'en mode natif (non compatible avec NT4).
Généralement en mode mixte les possibilités d’ajout d’objet sont plus restreintes.
a. Étendu Domaine local
Ce type d’étendu sera très efficace si on ne souhaite pas que le groupe que vous créez se
propage dans toute la forêt mais vous pourrez ajouter comme membre n'importe quel objet de la
forêt.

Mode Natif Mode Mixte

Membres Dans tous les autres domaines de la forêt: Dans tous les autres domaines
comptes utilisateurs, groupes globaux et de la forêt : comptes
groupes universels utilisateurs, groupes globaux
Du même domaine: comptes utilisateurs, Du même domaine : comptes
groupes locaux, groupes globaux et utilisateurs, groupes globaux
groupes universelles

Membres de De tous les autres domaines de la forêt : De tous les autres domaines
aucun de la forêt : aucun
Du même domaine : groupes locaux Du même domaine : aucun

Visibilité/ Dans tous les autres domaines de la forêt : aucun

Attribution Du même domaine : visibilité et attribution d'autorisation possible
d'autorisation

16 Prof : IDOUGLID
Chap. 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs Module S44

Schéma des membres d'une étendue

Étendue Globale
On utilisera les groupes de type global dans le but de simplifier l’administration de l’annuaire
Active Directory. Et on s’en servira surtout pour donner une image complète des services dans
chaque domaine (Comptabilité, Consultant, …).

Mode Natif Mode Mixte

Membres Dans tous les autres domaines de la Dans tous les autres domaines de
forêt: aucun la forêt: aucun
Du même domaine : comptes Du même domaine: comptes
utilisateurs et groupes globaux utilisateurs

Membres de De tous les autres domaines de la De tous les autres domaines de

forêt: groupes locaux la forêt: aucun
Du même domaine: groupes locaux même domaine: groupes locaux

Visibilité/ Attribution Dans tous les autres domaines de la forêt: visibilité et attribution
d'autorisation d'autorisation possible
Du même domaine: visibilité et attribution d'autorisation possible

Schéma des membres d'une étendue

Étendue Universelle
On utilisera les groupes avec une étendue universelle dans le but de renforcer les groupes
globaux (exemple : rassembler tous les groupes « Utilisa. du domaine », dans un groupe universel
« Utilisateurs de l’entreprise »). Un groupe universel ne doit en aucun cas avoir des modifications
fréquentes car il n’a pas été crée dans ce but. Car tout changement sur un groupe universel s’ensuit
d’une synchronisation des objets Active Directory sur tous les contrôleurs de domaine
(augmentation conséquente du trafic réseau).
A noter que ce type d'étendu n'existe pas en mode mixte.

17 Prof : IDOUGLID
Chap. 4 : Implémentation de comptes d'utilisateurs, de groupes et d'ordinateurs Module S44

Mode Natif

Membres Dans tous les autres domaines de la forêt: comptes utilisateurs, groupes globaux et
groupes universels
Du même domaine: comptes utilisateurs, groupes globaux et groupes universelles

Membres de De tous les autres domaines de la forêt: groupes locaux et groupes universelles
Du même domaine: groupes locaux et groupes universelles

Visibilité/ Dans tous les autres domaines de la forêt: visibilité et attribution d'autorisation
Attribution possible
d'autorisation Du même domaine: visibilité et attribution d'autorisation possible

Schéma des membres d'une étendue

3. Stratégie d’utilisation de groupe dans un domaine

Diverses stratégies sont recommandées afin d’attribuer les autorisations sur les ressources du
réseau (fichiers/dossiers/imprimantes partagées). La stratégie privilégiée au sein d’un domaine est
la stratégie C G DL A :

 C G: Rassemblez des comptes d’utilisateur dans des groupes Globaux.

 DL : Ajoutez les groupes globaux à un groupe Local de Domaine
 A : Affectez les Autorisations sur les ressources du domaine sur le groupe local de domaine.
Cette stratégie est aussi appelée A G DL P (Accounts Global group Domain Local group
Permissions).
Il existe une évolution de cette stratégie qui permet à utilisateurs situés dans plusieurs
domaines différents d’accéder à une ressource donnée. Cette stratégie fait intervenir les groupes
d’étendue universelle et est nommée C G U DL A.

III. Outils d’administration et tâches administratives

Divers outils sont mis à disposition de l’administrateur afin de lui faciliter la gestion des
comptes d’utilisateurs, d’ordinateurs et de groupes :
 Utilisateurs et ordinateurs Active Directory : Console permettant d’ajouter, modifier et
supprimer des comptes d’utilisateurs, d’ordinateurs et de groupe en mode graphique.
 Dsadd, dsmod, dsrm,… : Commandes permettant respectivement de créer, de modifier ou
de supprimer des objets dans Active Directory.
 csvde : Outil en ligne de commande permettant de créer des objets à partir d’un fichier au
format csv (champs délimités par des virgules).
 ldifde : Outil en ligne de commande permettant de créer, modifier, supprimer des objets à
partir d’un fichier au format ldif (champs délimités par des sauts de ligne).
 WSH : Environnement permettant d’exécuter des scripts en VBS ou en JScript.

18 Prof : IDOUGLID
Chap 5 : Implémentation d'une Stratégie de groupe Module S44

Chap 5 : Implémentation d'une Stratégie de groupe

I. Création et configuration d'objets Stratégie de groupe

1. Présentation d’une stratégie de groupe
 Une stratégie de groupes appelée GPO (Group Policy Object) est un objet Active Directory qui
va contenir un ensemble de paramètres.
 Ces paramètres vont permettre d’agir sur l’environnement d’un utilisateur ou d’un ordinateur
en déployant une configuration qui ne sera pas modifiable (interface bloquée) :
 Cet objet de stratégie de groupe va ensuite être lié à un conteneur site, un domaine ou une UO.
Cela va permettre d’appliquer les paramètres de GPO aux objets contenu dans ces conteneurs.
2. Composants d'un objet Stratégie de groupe
Une stratégie de groupe se décompose en deux parties :
 Un objet qui sera stocké dans la base Active Directory. Cet objet va ensuite être lié à des
objets de sites, domaines ou unités d’organisation.
 Un répertoire qui sera stocké dans le partage SYSVOL ayant pour nom le SID de l’objet de la
stratégie dans la base Active Directory. Ce répertoire contient l’ensemble des fichiers de
scripts, de configuration, etc. Le dossier SYSVOL est répliqué automatiquement entre tous les
contrôleurs de domaine quel que soit leur version.
3. Gestion des Stratégies de groupe par un contrôleur de domaine
La modification des paramètres de stratégie de groupe peut se faire sur n’importe quel
contrôleur de domaine, pour éviter les conflits un contrôleur de domaine s’occupe de centraliser
ces modifications.
Ce contrôleur est par défaut celui ayant le rôle de maître d’opérations Emulateur PDC, mais il
est bien évidemment possible de le changer avec les options suivantes :
 Le contrôleur de domaine avec le jeton de maître d’opérations pour l’émulateur PDC.
 Tout contrôleur de domaine disponible.
 Tout contrôleur de domaine exécutant Windows
Server 2003 ou version ultérieure.
 Ce contrôleur de domaine.
4. Définition des filtres WMI
Pour appliquer une stratégie de groupe, un fois celle-ci
liée à un conteneur, vous avez la possibilité de créer un
script WMI pour définir des conditions d’applications.
Exemple : Pour déployer une application (occupe 1 Go)
sur des postes clients, un script WMI permet de tester
l’espace disque libre sur les stations de travail avant d’appliquer la GPO.

II. Configuration des fréquences d'actualisation et des paramètres de stratégie

de groupe
1. Planification de l’application des stratégies de groupe
Lorsque l’ordinateur démarre :
 Les paramètres de la stratégie de groupe dont l’objet ordinateur dépend sont appliqués.
 Les scripts de ces stratégies sont lancés de façons synchrones (les uns après les autres).
19 Prof : IDOUGLID
Chap 5 : Implémentation d'une Stratégie de groupe Module S44

 Lorsque l’utilisateur ouvre une session :

 Les paramètres de la stratégie de groupe dont l’objet utilisateur dépend sont appliqués.
 Les scripts de ces stratégies sont lancés de façons asynchrones (tous en même temps).
2. Fréquence d’actualisation des paramètres de stratégie de groupe
Les stratégies sont ensuite rafraîchies toutes les cinq minutes sur les contrôleurs de domaine
et toutes les 90 minutes (plus une valeur aléatoire en 0 et 30 min) pour tous les ordinateurs
membres du domaine.
3. Application des stratégies de groupe lors de connexions réseau lentes
Lors de la détection d’une connexion réseau lente (500kb/s par défaut, modifiable par une
GPO), l’ordinateur détermine s’il est nécessaire ou non de mettre à jour les stratégies de groupe.
Le comportement en mode connexion lente peut être défini à l’aide d’une GPO.

III. Administration des objets Stratégie de groupe

Windows 2008 offre un outil d’administration dédié à la gestion des GPO appelé GPMC.
1. Copie d’une stratégie de groupe
Copier (ou dupliquer) une GPO permet de conserver tous ces paramètres mais ne sera lié à
aucun objet (sites, domaines, OU). La copie d’une stratégie est aussi possible entre différents
domaines
2. Sauvegarde et restauration d’une stratégie de groupe
Cette option va vous permettre de sauvegarder sous un fichier GPT (Group Policy Template).
Vous aurez ensuite la possibilité de restaurer cette stratégie de groupe quand vous le
souhaitez.
Lors d'une opération de restauration, le contenu de l'objet Stratégie de groupe est
rétabli tel quel
3. Importation d’une stratégie de groupe
Le principe de l’importation est très proche de la restauration de stratégie de groupe avec une
souplesse supplémentaire car il sera possible d’importer la sauvegarde d’une GPO dans une autre
GPO (Cas d’une migration inter-domaine).
4. Starter GPO
Permet de créer des modèles de stratégies de groupes qui seront utilisés lors de la création de
GPO.

IV. Délégation du contrôle administratif de la stratégie de groupe

1. Délégation d’administration des stratégies de groupe
Il y a trois aspects à la délégation d’une stratégie de groupe :
 Gestion des liaisons à un conteneur (Site, Domaine, Unité d’organisation)
 Création d’objets GPO
 Modification d’objets GPO
A l’aide de l’assistant délégation de contrôle, il est possible de déléguer la gestion des liaisons à
n’importe quelle personne sur un conteneur.
Par défaut, pour pouvoir créer une GPO, il faut être membre du groupe :

20 Prof : IDOUGLID
Chap 5 : Implémentation d'une Stratégie de groupe Module S44

 Admins de domaine
 Administrateur de l’entreprise
 Propriétaires créateurs de la stratégie de groupe
Pour pouvoir modifier une GPO, il faut avoir l’accès en lecture/écriture, puis être soit le
propriétaire de la GPO, soit membre des groupes :
 Admins de domaine
 Administrateur de l’entreprise
2. Délégation d’administration de filtres WMI
Vous pouvez déléguer la gestion des scripts WMI.
Les Scripts WMI sont stockés dans le conteneur nommé WMIScript dans Active Directory.
La délégation d’administration sur les scripts WMI est déterminée par les autorisations sur ce
répertoire.

21 Prof : IDOUGLID
Chapitre 6 : Déploiement et gestion des logicielsà l'aide d'une stratégie de groupe Module S44

Chapitre 6 : Déploiement et gestion des logiciels

à l'aide d'une stratégie de groupe

I. Présentation de la gestion du déploiement de logiciels

 Préparation : Les fichiers d’installation au format Windows Installer doivent être copiés dans
un partage sur un serveur de fichiers sur lequel les utilisateurs concernés auront les droits de
lecture. Ce partage est nommé point de distribution.
 Déploiement : Une GPO doit être créée afin que les logiciels s’installent automatiquement lors
du démarrage de l’ordinateur, à l’ouverture de session ou suite à une action manuelle de
l’utilisateur (publication).
 Maintenance : Le logiciel qui a été déployé peut être mis à jour via le même procédé et un
Service Pack peut être automatiquement déployé sur l’ensemble des postes sur lesquels le
logiciel a été installé.
 Suppression : Lorsque vous voulez désinstaller un logiciel à distance, il suffit de supprimer la
GPO permettant le déploiement du logiciel et automatiquement le logiciel sera supprimé des
machines.

II. Présentation de Windows Installer

 Service Windows Installer : service s’exécutant sur le client et permettant de réaliser les
installations à distance de façon complètement automatisée. Il est capable de modifier ou de
réparer automatiquement les logiciels défectueux.
 Package Windows Installer : fichier de type .msi contenant toutes les informations nécessaires
à l’installation du logiciel.

III. Déploiement de logiciels

1. Affectation de logiciels :
L’affectation permet de garantir la présence d’un logiciel pour un utilisateur ou une machine.
Dans le cas d’une affectation à un utilisateur, un raccourci de l’application va apparaître dans
son menu Démarrer et les types de fichier de l’application seront directement enregistrés.
Dès que l’utilisateur va cliquer sur le raccourci ou sur un fichier de l’application (ex : un fichier
.doc dans le cas de Word), le logiciel va s’installer automatiquement.
Dans le cas d’une affectation à un ordinateur, l’application va s’installer dès le démarrage de la
machine. Le logiciel sera alors disponible pour tous les utilisateurs de la machine.
L’affectation d’une application à un contrôleur de domaine ne fonctionne pas.
2. Publication de logiciels :
La publication d’un logiciel laisse le choix à l’utilisateur d’installer ou non l’application sur sa
machine.
Elle ne peut être mise en œuvre que pour un utilisateur et pas pour un ordinateur.
L’application apparaît dans le panneau de configuration Ajout/Suppression de programmes dans
une liste regroupant toutes les applications pouvant être installées.
Une autre méthode permet d’installer le logiciel en utilisant l’appel de documents. Lorsqu’une
application est publiée dans l’Active Directory les types de fichiers qu’elle prend en charge
sont enregistrés et lorsqu’un fichier reconnu fait l’objet d’une tentative d’ouverture par un
utilisateur ayant l’application correspondante publiée, le programme est installé.

22 Prof : IDOUGLID
Chapitre 6 : Déploiement et gestion des logicielsà l'aide d'une stratégie de groupe Module S44

3. Utilisation des modifications de logiciel

Dans certains cas il n’est pas nécessaire de déployer une application dans son intégralité, mais
une version personnalisée de l’application. Dans ce cas il est possible de modifier le script
d’installation pour réaliser une installation spécifique à l’aide des fichiers de modification (fichiers
de type .mst).
4. Création de catégories de logiciels
Afin de simplifier l’installation des applications publiées il est possible de créer des catégories
qui vont éviter de chercher l’application dans une longue liste.
5. Association d’extensions de noms de fichiers à des applications
Active Directory maintient une liste des extensions de fichiers et des applications associées. Il
n’est pas possible de d’agir sur cette liste mais il est possible de modifier la priorité des
applications pour chaque extension (ex : Word 2007 ou l’extension .doc)
6. Mise à niveau de logiciels déployés
Il existe deux types de mises à niveau des logiciels déployés :
Mise à niveau obligatoire : Le logiciel est remplacé automatiquement au prochain démarrage ou
à la prochaine ouverture de session.
Mise à jour facultative : L’utilisateur est libre de faire la mise à jour au moment où il le
souhaite.
7. Redéploiement de logiciels
Le redéploiement de logiciels permet d’appliquer un Service Pack ou un correctif sur un logiciel
déjà déployé. Une fois que le logiciel est marqué pour être redéployé, il y a trois scénarios
possibles.
L’application est affectée à un utilisateur : Les raccourcis et les éléments du Registre
sont mis à jour à la prochaine ouverture de session de l’utilisateur.
L’application est affectée à un ordinateur : Le Service Pack ou le correctif est installé
au prochain démarrage de l’ordinateur.
L’application est publiée et installée : Les raccourcis et les éléments du Registre sont
mis à jour à la prochaine ouverture de session. Le correctif ou le Service Pack sera
automatiquement installé à la prochaine utilisation du logiciel.
8. Suppression de logiciels déployés
Lors de la suppression d’un logiciel dans l’Active Directory, une boite de dialogue s’ouvre et
deux options de suppression vous sont proposées :
Désinstallation immédiate : Le logiciel est désinstallé au prochain démarrage de la
machine ou à la prochaine ouverture de session de l’utilisateur.
Autoriser l’utilisateur à continuer à utiliser le logiciel : Les logiciels ne sont pas
désinstallés mais ils n’apparaîtront plus dans la liste du panneau de configuration
Ajout/Suppression de programmes.

23 Prof : IDOUGLID
Chapitre 7 : Implémentation de sites pour gérer la réplication Active Directory Module S44

Chapitre 7 : Implémentation de sites pour gérer la réplication

Active Directory
I. Fonctionnement de la réplication
 Dans un domaine Win 2008, un ou plusieurs contrôleurs de domaine hébergent la BD Active
Directory.
 La réplication répercute les modifications apportées à la base de données Active Directory
depuis un contrôleur de domaine sur tous les autres contrôleurs de domaine du domaine.
 Cette réplication est qualifiée de multi maîtres car plusieurs contrôleurs de domaine (appelés
maîtres ou répliquas) ont la capacité de gérer ou modifier les mêmes informations d’Active
Directory.
 La réplication peut se produire à différents moments. Par exemple, lors de l’ajout d’objets sur un
contrôleur de domaine, on peut dire que la copie de la base de données Active Directory qu’il
contient a subit une mise à jour d’origine. Lorsque cette mise à jour est répliquée sur un autre
répliqua, on dira alors que ce dernier a effectué une mise à jour dupliquée. La mise à jour
effectuée sur le 2ème contrôleur peut être répliquée sur un 3ème contrôleur de domaine.
 Le processus de réplication n’intervient qu’entre deux contrôleurs de domaine à la fois.
 Apres avoir apporté une modification sur un contrôleur de domaine, un temps de latence (par
défaut 15 secondes) est observé avant d’envoyer un message de notification au premier
partenaire de réplication. Chaque partenaire direct supplémentaire est informé 30 secondes
(valeur par défaut) après la réception de la notification. Lorsqu’un partenaire de réplication est
informé d’une modification apportée à la base, il récupère celle-ci depuis le contrôleur de
domaine ayant émis la notification.
 Dans certains cas, la notification de changement est immédiate, ainsi que la réplication. C’est le
cas lors de la modification d’attributs d’objets considérés comme critiques du point de vue
sécurité (par exemple, la désactivation d’un compte). On parle alors de réplication urgente.
 Toutes les heures (valeur par défaut paramétrable), si aucune modification n’a été apportée à la
base Active Directory, un processus de réplication est lancé. Ceci, pour s’assurer que la copie de
la base de données Active Directory est identique sur tous les contrôleurs de domaine.
II. Résolution des conflits de réplication
La réplication D’Active Directory étant multi
maître, des conflits peuvent survenir lors des
mises à jour.
Pour minimiser les conflits, les contrôleurs de
domaines se basent sur les modifications
apportées aux attributs des objets plutôt que les
objets eux même. Ainsi, si deux attributs distincts
d’un même objet sont modifiés simultanément par
deux contrôleurs de domaine, il n’y aura pas de
conflit.
Pour résoudre certains conflits, Active
Directory emploie un cachet unique global qui est envoyé avec les mises à jour d’origine (et
uniquement celles-ci). Ce cachet contient les composants suivants (du plus important au moins
important):

24 Prof : IDOUGLID
Chapitre 7 : Implémentation de sites pour gérer la réplication Active Directory Module S44

Le numéro de version : la numérotation commence à 1. Il est

incrémenté de 1 à chaque mise à jour d’origine.
Dateur : il s’agit de la date et de l’heure du début de la mise a jour,
issue de l’horloge système du contrôleur sur lequel a eu lieu la mise a
jour d’origine.
Serveur GUID (Globally Unique IDentifier – Identificateur universel
unique) : il est défini par le DSA (Directory System Agent) d’origine
qui identifie le contrôleur de domaine sur lequel a eu lieu la mise à jour
d’origine.

Remarque : Pour que les dateurs soient justes, il est impératif que toutes les horloges des
contrôleurs de domaine soient synchronisées. Dans le cas contraire il y a un risque de perte de
données dans l’annuaire ou que ce dernier soit endommagé.
On dénombre trois types de conflits potentiels :
 Conflit d’attribut : lorsque le même attribut d’un objet est modifié sur différents contrôleurs
avec des valeurs différentes. Solution : garde l’attribut modifié ayant la plus grande valeur de
cachet.
 Conflit de conteneur supprimé : ce conflit intervient lorsqu’un objet est ajouté dans un
conteneur (par exemple un utilisateur dans l’UO BTS) alors que ce conteneur a été supprimé sur
un autre contrôleur de domaine. La réplication n’ayant pas eu lieu, cette suppression n’a pas
encore été prise en compte par tous les contrôleurs de domaine. Le conflit est résolu par la
récupération des objets orphelins dans le conteneur LostAndFound.
 Conflit RDN (Relative Distinguish Name) (Nom parent) : lorsqu’un répliqua tente de déplacer
un objet dans un conteneur dans lequel un autre répliqua a placé un objet portant le même nom.
Ce conflit est résolu par le changement de nom de l’objet ayant le cachet le moins important.
III. Optimisation de la réplication
Lors de la réplication, un contrôleur de domaine peut
recevoir plusieurs fois la même mise à jour, car cette
dernière peut emprunter différents chemins.
Active Directory emploie le blocage de propagation
pour réduire la quantité de données inutiles qui vont
transiter d’un contrôleur de domaine à un autre. Ainsi,
chaque contrôleur de domaine va gérer une table de vecteurs
contenant entre autre des USN (Update Sequence Number).
Les USN servant à déterminer ce qu’il est nécessaire de
mettre a jour dans un répliqua. Lorsqu’un objet est mis à
jour, le contrôleur de domaine affecte l’USN modifié.
Il existe un USN pour chaque attribut et un USN
pour chaque objet.
IV. Topologie de réplication
1. Partitions d’annuaire
La base de données Active Directory se compose
logiquement de plusieurs partitions d’annuaire :
 la partition de schéma,

25 Prof : IDOUGLID
Chapitre 7 : Implémentation de sites pour gérer la réplication Active Directory Module S44

 la partition de configuration
 et les partitions de domaine.
Une partition est une unité de réplication indépendante des autres utilisant une procédure de
réplication propre.
Partition de schéma
Elle contient la définition de tous les objets et attributs pouvant être créés dans l’annuaire,
ainsi que les règles de création et de gestion de ces objets. Ces informations sont répliquées sur
tous les contrôleurs de domaine de la forêt car il ne peut y avoir qu’un seul schéma pour une forêt.
Partition de configuration
Elle contient toutes les informations liées à la structure d’Active Directory, avec entre autres
les domaines, domaines enfants, sites, etc…
Ces informations sont, elles aussi, répliquées sur tous les contrôleurs de domaine afin de
maintenir l’unicité dans la forêt.

26 Prof : IDOUGLID
Chapitre 8 : Le rôle du serveur de catalogue global Module S44

Chapitre 8 : Le rôle du serveur de catalogue global

I. Définition du serveur de catalogue global
 Le catalogue global ou GC (Global Catalogue) permet aux utilisateurs d’effectuer 2 tâches
importantes :
 Trouver des informations Active Directory sur toute la forêt, quel que soit l’emplacement de ces
données.
 Utiliser des informations d’appartenance à des groupes universels pour ouvrir une session sur le réseau.
 Un serveur de catalogue global est un contrôleur de domaine qui conserve une copie du catalogue
global et peut ainsi traiter les requêtes qui lui sont destinées.
 Le premier contrôleur de domaine est automatiquement le serveur de catalogue global. Il est
possible de configurer d’autres contrôleurs de domaine en serveur de catalogue global afin de
réguler le trafic.

II. L’importance du catalogue global dans le processus d’authentification

Voici les étapes importantes qui sont réalisées lorsqu’un utilisateur s’authentifie sur le domaine :
1. L’utilisateur entre des informations d’identification (son identifiant, son mot de passe ainsi que
le domaine sur lequel il souhaite ouvrir une session) sur un ordinateur membre du domaine afin
d’ouvrir une session.
2. Ces informations d’identification sont cryptées par le centre de distribution de clefs ou KDC
(pour Key distribution Center), puis envoyées à l’un des contrôleurs de domaine du domaine de
l’ordinateur client.
3. Le contrôleur de domaine compare les informations d’identification cryptées du client avec
celles se trouvant sur Active Directory. Si les informations concordent alors le processus
continue, sinon il est interrompu.
4. Le contrôleur de domaine crée ensuite la liste de tous les groupes dont l’utilisateur est membre.
Pour cela, le contrôleur de domaine interroge un serveur de catalogue global.
5. Le contrôleur de domaine fournit ensuite au client un ticket d’accord ou TGT (Ticket Granting
Ticket). Le TGT contient les identificateurs de sécurité ou SID (Security Identifier) des
groupes dont l’utilisateur est membre (Un TGT expire au bout de 8 heures ou bien quand
l’utilisateur ferme sa session).
6. Une fois que l’ordinateur client a reçu le TGT, l’utilisateur est authentifié et peut tenter de
charger son profil et d’accéder aux ressources du réseau.
Si le serveur de catalogue global n’est pas joignable, le processus d’authentification est mis en
échec. En effet, le contrôleur de domaine ne peut pas obtenir les SID des groupes dont l’utilisateur
est membre lorsque le serveur de catalogue global est indisponible. Dans ce cas le contrôleur de
domaine n’émet pas de TGT et l’utilisateur ne peut pas ouvrir sa session.

III. L’importance du catalogue global dans le processus d’autorisation

Voici les étapes importantes qui sont réalisées lorsqu’un utilisateur authentifié essaye
d’accéder à une ressource sur le domaine :
1. Le client essaye d’accéder à une ressource située sur le réseau (ex. : serveur de fichier).
2. Le client utilise le TGT qui lui a été remis lors du processus d’authentification pour accéder au
service d’accord de ticket ou TGS (Ticket Granting Service) situé sur le contrôleur de domaine.
3. Le TGS émet un ticket de session pour le serveur sur lequel se trouve la ressource qu’il envoie au
client. Le ticket de session contient les identificateurs SID des groupes auxquels l’utilisateur
appartient.
4. Le client envoie son Ticket de session au serveur de fichier.

27 Prof : IDOUGLID
 Chapitre 8 : Le rôle du serveur de catalogue global Module S44

5. L’autorité de sécurité locale ou LSA (pour Local Security Authority) du serveur de fichier utilise
les informations du ticket de session pour créer un jeton d’accès.
6. L’autorité LSA contacte ensuite le contrôleur de domaine et lui envoie les SIDs de tous les
groupes figurant dans la liste DACL (Discretionary ACcess List) de la ressource. Le contrôleur
de domaine doit ensuite joindre un serveur de catalogue global afin de connaître les
identificateurs de sécurité (ou SIDs) des groupes de la liste DACL dont l’utilisateur est
membre.
7. Enfin, l’autorité LSA compare les identificateurs SID du jeton d’accès avec les SID des groupes
dont l’utilisateur est membre et qui figurent dans la liste DACL. Si les groupes auxquels
l’utilisateur appartient sont autorisés à accéder à la ressource alors l’utilisateur peut accéder à
la ressource sinon, l’accès est refusé.
Si le serveur de catalogue global est indisponible, alors le processus d’autorisation ne peut pas
se poursuivre et l’utilisateur ne peut pas accéder à la ressource.

IV. La mise en cache de l’appartenance au groupe universel

Définition :
 La mise en cache de l’appartenance au groupe universel consiste à stocker sur un contrôleur de
domaine les résultats des requêtes effectuées auprès d’un serveur de catalogue global.
 La mise en cache de l’appartenance au groupe universel est principalement utilisée lorsque deux
sites sont reliés entre eux par une liaison WAN possédant une faible bande passante.
 Il est donc obligatoire de placer un contrôleur de domaine dans le site distant sinon la connexion
ralentira les ouvertures de session.
 Il n’est pas possible d’héberger le catalogue global sur le site distant car la réplication entre les
serveurs de catalogue global entraîne un trafic réseau trop important.
Problème : Malgré le fait qu’un contrôleur de domaine soit disponible en local dans le site distant, le
trafic entre les deux sites reste élevé puisque pour chaque ouverture de session ou bien chaque
accès à une ressource partagée, le contrôleur de domaine accède à un serveur de catalogue global
situé dans la maison mère.
Solution : l’implémentation de la mise en cache de l’appartenance au groupe universel.
Démarche :
1. Lorsqu’un utilisateur du site distant tente d’ouvrir sa session pour la première fois, il contacte le
contrôleur de domaine qui va lui-même contacter le serveur de catalogue global (GS sur le
schéma) afin de récupérer les SIDs des groupes dont l’utilisateur est membre.
2. Le contrôleur de domaine va ensuite mettre en cache les informations qu’il a reçues du serveur
de catalogue global pendant une durée de 8 heures (durée par défaut). La même opération (mise
en cache) est effectuée lors du premier accès de l’utilisateur à une ressource partagée.
3. Si l’utilisateur se « logue » de manière récurrente sur le domaine ou bien si il accède
régulièrement à des partages réseaux, le contrôleur de domaine du site distant utilise les
informations situées dans son cache. Cela offre trois grands avantages :
 Les authentifications des utilisateurs et les accès aux ressources du réseau sont moins
dépendants de la liaison WAN.
 Le trafic d’authentification et d’autorisation au niveau de la liaison WAN utilise peu de
bande passante.
 La résolution de l’appartenance au groupe universel est plus rapide puisque le contrôleur de
domaine possède les informations nécessaires en local.
NB : La fonction de mise en cache de l’appartenance au groupe universel est disponible uniquement
sur les contrôleurs de domaine exécutant Windows Server 2003 ou ultérieur.

28 Prof : IDOUGLID
Chapitre 9 : Gestion des maîtres d'opérations Module S44

Chapitre 9 : Gestion des maîtres d'opérations

I. Présentation des maîtres d’opérations

Les modifications d’Active Directory peuvent être faites sur n’importe quel contrôleur de
domaine. Il y a toutefois 5 exceptions pour lesquelles les modifications sont faites sur un et un seul
contrôleur de domaine particulier : les 5 rôles des maîtres d’opérations.
Voici les cinq rôles des maîtres d’opérations :
 Contrôleur de schéma
 Maître d’attribution des noms de domaine
 Emulateur CPD
 Maître d’identificateur relatif
 Maître d’infrastructure.
Les deux premiers sont assignés au niveau de la forêt, les trois derniers au niveau du domaine.
Ce qui implique s’il y a plusieurs domaines dans une forêt, autant de maîtres d’opérations pour les
trois derniers rôles, que de domaines.
Par défaut le premier contrôleur de domaine d’une nouvelle forêt contient les cinq rôles.
1. Rôle du contrôleur de schéma
Il est le seul dans une forêt à pouvoir modifier le schéma. Il duplique les modifications aux
autres contrôleurs de domaine dans la forêt lorsqu’il y a eut une modification du schéma. Le fait
d’avoir un seul ordinateur qui gère le schéma évite tout risque de conflits.
Un seul groupe peut faire des modifications sur le schéma : le groupe « administrateurs du
schéma ».
2. Maître d’attribution de nom de domaine
Seul le contrôleur de domaine ayant ce rôle, est habilité à ajouter un domaine dans une forêt.
Si le maître d’opération d’attribution de nom de domaine n’est pas disponible, il est impossible
d’ajouter ou de supprimer un domaine à la forêt.
Du fait de son rôle, le maître d’attribution de nom de domaine est aussi un serveur de catalogue
global. En effet pour éviter tous problèmes, celui-ci doit connaître tous les noms des objets
présents dans la forêt.
3. Emulateur CPD (PDC)
Ce rôle a été créé principalement dans un souci de permettre une compatibilité avec les
versions antérieures de Windows 2000.
Rôle propre aux versions antérieures à Windows 2000 :
 Il permet la prise en charge des BDC Windows NT4.
 Il a la gestion des modifications des mots de passes pour des clients antérieurs à Windows
2000.
Autres Rôles :
Authentification de secours: Lorsque vous avez modifié votre mot de passe sur votre
ordinateur, et que vous vous connectez peu de temps après sur une autre machine, il se peut
que la réplication du changement de votre mot de passe n’ait pas encore été effectuée. Dans ce
cas, le DC qui vérifie votre mot de passe va demander à l’émulateur CPD si votre mot de passe
n’a pas été changé avant de vous refuser l’accès.
29 Prof : IDOUGLID
Chapitre 9 : Gestion des maîtres d'opérations Module S44

Synchroniser l’heure de tous les DC en fonction de son horloge.

Elimine les risques d’écrasement d’objets GPO : par défaut la modification de GPO se fait sur
ce DC.
4. Maître RID
Un SID est composé de deux blocs : un identificateur de domaine et un RID (Identificateur
unique dans le domaine).
Pour qu’il ne puisse y avoir deux DC qui assignent le même SID à deux objets différents, le
maître RID distribue une plage de RID à chacun des DC. Lorsque la plage de RID a été utilisée, le
DC demande une nouvelle plage de RID au maître RID.
Le maître RID à aussi la charge des déplacements inter-domaines, pour éviter la duplication de
l’objet.
5. Maître d’infrastructure
Le maître d’infrastructure sert à mettre à jour, dans son domaine, les références à des objets
situés dans d’autres domaines. Si des modifications d’un objet du domaine surviennent
(déplacement intra et extra domaine), alors si cet objet est lié à un ou plusieurs objets d’autres
domaines, le maître d’infrastructure est responsable de la mise à jour vers les autres domaines. La
mise à jour se fait par le biais d’une réplication.
Un Maître d’infrastructure ne peut être aussi un serveur de catalogue global.

II. Transfert et prise de rôles de maîtres d’opérations

Si le serveur défaillant sera rapidement remis en marche, ne transférez pas le rôle de maître
d’opération.
On ne transfère le rôle de maître d’opération que lorsque le serveur ne pourra pas être remis
en marche ou dans des délais longs. (La limite en temps est vague car elle dépend de
l’environnement de votre réseau, cela peut être une journée comme une semaine).
1. La défaillance de l’Emulateur de CPD
La défaillance est la plus handicapante :
 Les ordinateurs clients exécutant une version antérieure à Windows 2000 ne pourront plus
s’authentifier.
 Perte de la diminution de latence pour la mise à jour des mots de passe.
 Eventuelle perte de synchronisation horaire entre les contrôleurs.
2. Défaillance du maître d’infrastructure
Cela limite le déplacement des objets dans Active Directory
En effet Si le maître d'infrastructure ne sera pas disponible pendant un délai trop prolongé,
vous pouvez prendre le rôle et le transférer à un contrôleur de domaine qui n'est pas un catalogue
global, mais qui est relié correctement à un catalogue global (à partir de n'importe quel domaine) ;
situé de préférence sur le même site que le catalogue global actuel.
3. Défaillance des autres maîtres d’opérations
Ces défaillances sont les moins gênantes. Il est préférable de restaurer une sauvegarde de ces
maîtres d’opérations plutôt que de les transférer, le transfert de ces maîtres d’opérations peut
entraîner des erreurs dans les données.
La prise du rôle de ces maîtres d’opérations ne doit être envisagée qu’en dernier recours.

30 Prof : IDOUGLID
Chapitre 10 : Maintenance d'Active Directory Module S44

Chapitre 10 : Maintenance d'Active Directory

Entretien de la base de données Active Directory

 La sauvegarde d’Active Directory doit être effectuée régulièrement. La sauvegarde de l’Etat du
Système sur un DC sauvegarde la base de données AD (ainsi que le dossier sysvol, le Registre,
les fichiers de démarrage du système, l’inscription des classes et les certificats).
 La défragmentation d’Active Directory doit être effectuée de temps en temps, pour éviter que
la base de données AD ne prenne trop d’espace disque. (L’utilitaire NTDSUTIL permet de
défragmenter la base de données).
 Le déplacement de la base de données AD peut être nécessaire lors d’un manque d’espace disque.
1. Fichiers d’Active Directory
© Ntds.dit : Base de données contenant les objets d’Active Directory.
© Edb*.log : Journal des modifications sur la base de données
© Edb.chk : Fichier de contrôle, permet de ne pas perdre d’informations ou de corrompre la base
de données lors d’un sinistre.
© Res*.log : ces fichiers ne sont là que pour réserver de l’espace disque pour le fichier de journal.
Rq : Le moteur de la base de données Active Directory est nommé ESE (Extensive Storage Engine)
2. Nettoyage de la mémoire
Un processus s’exécute toutes les douze heures pour supprimer les objets obsolètes d’Active
Directory et défragmenter la mémoire utilisée par Active Directory. Lors de la suppression d’un
objet Active Directory, il est placé dans le conteneur Deleted Objects et lorsqu’il aura dépassé sa
durée de vie désactivée (par défaut 60 jours), le processus de nettoyage de la mémoire le
supprimera.
3. Restauration d’Active Directory
Il existe trois types de restauration :
 Forcée (Authoritative).
 Normale ou Non Forcée (non authoritative)
 Principale.
Une restauration forcée est utile dans le cas ou vous avez effacé des objets dans Active
Directory par erreur, et que la réplication a été effectuée entre les différents contrôleurs de
domaines. Les objets effacés vont être restaurés et répliqués aux autres DC.
Une restauration forcée considère des données spécifiques comme données actuelles et empêche la
réplication d’écraser ces données. Les données forcées sont ensuite répliquées dans tout le
domaine.
Une restauration normale (non forcée) : Cette méthode de restauration rétablit les données
Active Directory dans l’état où elles étaient avant la sauvegarde, puis met à jour les données par le
biais du processus de réplication normale. Effectuez une restauration normale uniquement lorsque
vous souhaitez restaurer un seul contrôleur de domaine à son état précédent.
La restauration principale doit être utilisée uniquement lorsque les données contenues dans tous
les contrôleurs de domaine du domaine sont perdues.
Une restauration principale reconstruit le premier contrôleur de domaine à partir de la version
sauvegardée. Utilisez ensuite la restauration normale sur les autres contrôleurs de domaine. Ce
mode doit être utilisé lorsqu’il n’existe aucune autre manière de reconstruire le domaine. En effet,
toutes les modifications postérieures à la sauvegarde sont perdues.
31 Prof : IDOUGLID