Sur cette page
.gif)
Architecture
Objets
Schéma
Attributs du schéma et requêtes
Noms des objets de schéma
Extension du schéma
Conventions d'affectation de noms d'objet
Noms des entités de sécurité
Identificateurs de sécurité (SID)
Noms LDAP
Noms RDN et noms uniques LDAP
Noms d'URL LDAP
Noms canoniques LDAP de Active Directory
GUID d'objets
Noms d'ouverture de session : noms UPN et noms de
comptes SAM
Noms UPN
Noms de comptes SAM
Publication d'objets
Décision de publication
Outils de publication
Architecture
L'installation d'un contrôleur de domaine Active
Directory crée simultanément le domaine
Windows 2000 initial ou ajoute le nouveau contrôleur
à un domaine existant. Comment les contrôleurs de
domaine et les domaines s'inscrivent-ils dans l'architecture
globale du réseau ?
Cette section détaille les composants d'un réseau
Active Directory et leur organisation. En outre, elle
décrit comment déléguer la responsabilité
d'administration d'unités d'organisation, de domaines ou
de sites aux personnes appropriées et comment assigner des
paramètres de configuration à ces trois conteneurs
Active Directory. Cette section comprend les rubriques
suivantes :
-
Objets (y compris le schéma)
-
Conventions d'affectation de nom d'objet (dont les noms
des entités de sécurité, les SID, les noms
LDAP, les GUID d'objets et les noms d'ouverture de
session)
-
Publication d'objets
-
Domaines (y compris les arborescences, les forêts,
les approbations et les unités d'organisation)
-
Sites (y compris la réplication)
-
Application de la délégation et des
stratégies de groupe aux unités d'organisation, aux
domaines et aux sites
Objets
Les objets Active Directory sont des
éléments qui constituent un réseau. Un objet est
un ensemble d'attributs nommé et circonscrit qui
représente un élément concret, comme un
utilisateur, une imprimante ou une application. Lorsque vous
créez un objet Active Directory, certains de ses attributs
sont paramétrés automatiquement et d'autres vous sont
demandés. Par exemple, si vous créez un objet
Utilisateur, Active Directory fournit l'identificateur
globalement unique (GUID, Globally Unique Identifier) tandis
que vous fournissez les valeurs d'attributs tels que le
prénom et le nom de l'utilisateur, l'identificateur
d'ouverture de session, etc.
Schéma
Le schéma est une description des classes
d'objet (différents types d'objet) et de leurs
attributs. Le schéma définit les attributs que
chaque classe d'objet doit posséder, les attributs
supplémentaires dont elle doit disposer et la classe
d'objet dont elle peut être l'enfant. Chaque objet Active
Directory est une instance d'une classe d'objet. Chaque
attribut est défini une seule fois mais peut être
utilisé dans plusieurs classes. C'est le cas, par exemple,
de l'attribut Description, qui est utilisé dans de
nombreuses classes différentes.
Le schéma est enregistré dans Active Directory.
Les définitions du schéma sont elles-mêmes
enregistrées comme objets (les objets Schéma de
classe et Schéma d'attributs). Active Directory peut ainsi
gérer les objets de classe et d'attribut comme les autres
objets d'annuaire.
Les applications qui créent ou modifient des objets
Active Directory utilisent le schéma pour déterminer
les attributs que l'objet doit posséder et à quoi ces
attributs peuvent ressembler en termes de structure des
données et de contraintes de syntaxe.
Les objets sont soit des objets conteneurs, soit des objets
feuilles (également appelés objets non-conteneurs).
Les objets conteneurs stockent d'autres objets, alors que les
objets feuilles, non. Par exemple, un dossier est un objet
conteneur de fichiers, qui sont eux-mêmes des objets
feuilles.
Chaque classe d'objet du schéma Active Directory
possède des attributs qui garantissent :
-
l'identification unique de chaque objet d'un magasin de
données d'annuaire ;
-
la compatibilité pour les entités de
sécurité (utilisateurs, ordinateurs ou groupes)
avec les identificateurs de sécurité (SID)
utilisés dans les systèmes d'exploitation Windows
NT 4.0 et antérieurs ;
-
la conformité aux normes LDAP en matière de
noms d'objets d'annuaire.
Attributs du schéma et requêtes
L'outil Schéma Active Directory permet de marquer un
attribut comme indexé. Cela a pour effet d'ajouter toutes
les instances de cet attribut à l'index et non pas
seulement celles qui sont membres d'une classe
particulière. L'indexation d'un attribut permet de
retrouver plus rapidement les objets possédant cet
attribut.
Vous pouvez également inclure des attributs dans le
catalogue global. Ce dernier contient un ensemble d'attributs
par défaut pour chaque objet de la forêt, mais vous
pouvez en ajouter d'autres. Les utilisateurs et les
applications utilisent le catalogue global pour localiser des
objets dans une forêt. Ajoutez-y uniquement des attributs
possédant les caractéristiques suivantes :
-
Utilité globale. L'attribut doit pouvoir
servir à localiser des objets (même pour un
accès en lecture, seulement) sur l'ensemble d'une
forêt.
-
Non-volatilité. L'attribut ne doit pas
changer, ou bien très rarement. Les attributs d'un
catalogue global sont répliqués vers tous les
autres catalogues globaux de la forêt. Si l'attribut
change souvent, le trafic de réplication augmente de
manière significative.
-
Petite taille. Les attributs d'un catalogue global
sont répliqués vers tous les autres catalogues
globaux de la forêt. Plus l'attribut sera petit, moins
sa réplication aura d'impact sur le trafic du
réseau.
Noms des objets de schéma
Comme précisé plus haut, les classes et les
attributs sont tous des objets de schéma. En tant que
tels, ils peuvent être référencés par les
types de noms suivants :
-
Nom complet LDAP. Le nom complet LDAP est
globalement unique pour chaque objet de schéma. Il est
composé d'un ou de plusieurs mots, avec initiale
majuscule à partir du deuxième mot. Par exemple,
mailAddress et machinePasswordChangeInterval sont les noms
complets LDAP de deux attributs de schéma. Schéma
Active Directory et d'autres outils d'administration
Windows 2000 affichent le nom complet LDAP des objets.
Celui-ci permet aux programmeurs et aux administrateurs de
référencer l'objet par programme. Pour plus
d'informations sur l'extension par programme du schéma,
voir la sous-section suivante ; pour plus d'informations
sur LDAP, voir la section "Protocole LDAP".
-
Nom commun. Le nom commun d'un objet de
schéma est également globalement unique. Vous devez
le spécifier lors de la création de nouveaux
attributs ou classes d'objet dans le schéma —
c'est le nom unique relatif (RDN, Relative Distinguished
Name) de l'objet du schéma qui représente cette
classe d'objet. Pour plus de détails sur les noms RDN,
reportez-vous à la section "Noms RDN et noms uniques
LDAP". Par exemple, les noms communs des deux attributs
mentionnés précédemment sont SMTP-Mail-Address
et Machine-Password-Change-Interval.
-
Identificateur d'objet (OID). Un identificateur
d'objet de schéma est un numéro attribué par
une autorité telle que l'Association internationale de
normalisation (ISO, International Organization for
Standardization) ou l'ANSI (American National Standards
Institute). Par exemple, l'OID de l'attribut
SMTP-Mail-Address est 1.2.840.113556.1.4.786. Les OID sont
garantis comme étant uniques sur l'ensemble des
réseaux du monde entier. Une fois que vous avez obtenu
un OID racine à partir d'une autorité
compétente, vous pouvez l'utiliser pour en attribuer
d'autres. Les OID sont organisés sous forme
hiérarchique. Par exemple, Microsoft s'est vu allouer
l'OID racine 1.2.840.113556. Microsoft gère en interne
d'autres branches issues de cette racine. Une de ces branches
est utilisée pour allouer des OID aux classes de
schéma Active Directory et une autre pour les attributs.
Pour reprendre notre exemple, l'OID 1.2.840.113556.1.5.4
identifie dans Active Directory la classe de domaine
prédéfini et peut être analysé de la
manière illustrée dans le tableau 1.
Tableau 1. Identificateur
d'objet
Numéro
d'OID
| Identifie
|
1
| ISO (autorité
"racine") a attribué 1.2 à ANSI, puis
U
|
2
| ANSI a attribué
1.2.840 aux États-Unis, puis U
|
840
| les États-Unis
ont attribué 1.2.840.113556 à Microsoft,
puis U
|
113556
| Microsoft gère
en interne plusieurs branches d'OID sous
1.2.840.113556, dont U
|
1
| une branche
appelée Active Directory qui inclut U
|
5
| une branche
appelée Classes qui inclut U
|
4
| une branche
appelée Domaine prédéfini
|
Pour plus d'informations sur les OID et sur la manière
de les obtenir, voir la section "Pour plus d'informations"
à la fin de ce document.
Extension du schéma
Le système d'exploitation Windows 2000 Server
fournit un ensemble de classes d'objet et d'attributs par
défaut suffisants pour la plupart des organisations. Bien
que vous ne puissiez pas supprimer les objets de schéma,
vous pouvez les marquer comme désactivés.
Les développeurs et les administrateurs réseau
expérimentés peuvent étendre dynamiquement le
schéma en définissant de nouvelles classes et de
nouveaux attributs pour les classes existantes. Il est
conseillé d'étendre le schéma Active Directory
par programme, via l'interface ADSI (Active Directory Service
Interface). Vous pouvez également utiliser l'utilitaire
LDIFDE (LDAP Data Interchange Format). (Pour plus
d'informations sur ADSI et LDIFDE, voir les sections "ADSI" et
"Active Directory et LDIFDE".)
L'outil Schéma Active Directory, conçu à des
fins de développement et de test, vous permet d'afficher
et de modifier le schéma Active Directory.
Si vous envisagez de modifier le schéma, prenez les
points suivants en considération :
-
Les modifications du schéma s'appliquent à
l'ensemble de la forêt.
-
Les extensions du schéma sont irréversibles
(même si vous pouvez modifier certains attributs).
-
Microsoft exige de toute personne étendant le
schéma qu'elle adhère aux règles d'affectation
de noms (évoquées dans la sous-section
précédente) à la fois pour les noms complets
LDAP et pour les noms communs. La compatibilité est
garantie par le logo Certifié compatible
Windows7. Pour plus d'informations, voir le Site Web : msdn - L'information pour
les Développeurs.
-
Toutes les classes du schéma sont dérivées
de la classe spéciale Top. À l'exception de Top,
toutes les classes sont des sous-classes dérivées
d'une autre classe. L'héritage des attributs
permet de construire de nouvelles classes à partir de
classes existantes. La nouvelle sous-classe hérite des
attributs de sa superclasse (classe parent).
L'extension du schéma est une opération
avancée. Pour plus d'informations sur l'extension du
schéma par programme, voir la section "Pour plus
d'informations" à la fin de ce document.
Conventions d'affectation de noms d'objet
Active Directory prend en charge plusieurs formats de noms
d'objet pour tenir compte des différentes formes que peut
prendre un nom, selon le contexte d'utilisation (certains noms
correspondent à des numéros). Les sous-sections
suivantes décrivent les types de conventions d'affectation
de nom des objets Active Directory :
-
Noms des entités de sécurité
-
Identificateurs de sécurité (aussi appelés
SID ou identificateurs SID)
-
Noms LDAP (dont les noms canoniques, les noms RDN, les
URL et les noms uniques)
-
GUID d'objets
-
Noms d'ouverture de session (dont les noms UPN et les
noms de comptes SAM)
Si votre organisation possède plusieurs domaines, vous
pouvez utiliser les mêmes noms d'utilisateur et
d'ordinateur dans les différents domaines. Le SID, le
GUID, le nom unique LDAP et le nom canonique
générés par Active Directory identifient de
manière unique chaque utilisateur et chaque ordinateur de
l'annuaire. Si l'objet Utilisateur ou Ordinateur est
renommé ou déplacé vers un domaine
différent, le SID, le nom unique relatif LDAP, le nom
unique et le nom canonique changent. En revanche, le GUID
généré par Active Directory reste identique.
Noms des entités de sécurité
Une entité de sécurité est un objet
Windows 2000 géré par Active Directory, auquel
est automatiquement affecté un identificateur de
sécurité (SID) pour l'authentification d'ouverture de
session et l'accès aux ressources. Une entité de
sécurité peut être un compte d'utilisateur, un
compte d'ordinateur ou un groupe. En d'autres termes, un nom
d'entité de sécurité identifie de manière
unique un utilisateur, un ordinateur ou un groupe au sein d'un
domaine unique. Un objet entité de sécurité doit
être authentifié par un contrôleur du domaine
dans lequel il se trouve et l'accès aux ressources
réseau peut lui être accordé ou refusé.
Les noms des entités de sécurité ne sont pas
uniques sur l'ensemble des domaines, mais doivent être
uniques dans leur propre domaine pour des raisons de
compatibilité ascendante. Les objets entités de
sécurité peuvent être renommés,
déplacés ou enregistrés au sein d'une
arborescence de domaines imbriqués.
Leur nom doit être conforme aux lignes directrices
suivantes :
-
Le nom ne doit pas être identique à un autre
nom d'utilisateur, d'ordinateur ou de groupe du domaine. Il
peut contenir jusqu'à 20 caractères majuscules
ou minuscules, à l'exception des caractères
suivants : " / \ [ ] : ; | = , + * ? <>
-
Les noms d'utilisateurs, d'ordinateurs et de groupes ne
doivent pas être composés uniquement de points (.)
et d'espaces.
Identificateurs de sécurité (SID)
Un SID est un numéro unique, créé par le
sous-système de sécurité de Windows 2000 et
affecté aux objets entités de sécurité,
à savoir les comptes d'utilisateurs, de groupes et
d'ordinateurs. Chaque compte de votre réseau a reçu
un SID unique à sa création. Les processus internes
de Windows 2000 font référence au SID d'un
compte plutôt qu'à son nom d'utilisateur ou de
groupe.
Des entrées de contrôle d'accès (ACE, Access
Control Entrie) protègent chaque objet Active Directory en
identifiant les utilisateurs et les groupes pouvant y
accéder. Chaque ACE contient le SID de chaque utilisateur
et de chaque groupe ayant l'autorisation d'accéder à
l'objet et définit le niveau d'accès autorisé.
Par exemple, un utilisateur peut disposer pour certains
fichiers de droits d'accès en lecture seule, pour d'autres
de droits d'accès en lecture et en écriture, et pour
d'autres encore, d'aucun droit d'accès.
Si vous créez un compte, que vous le supprimez, puis
que vous créez un autre compte avec le même nom
d'utilisateur, le nouveau compte n'hérite ni des
autorisations, ni des droits accordés à l'ancien
compte car les comptes ont des identificateurs SID
différents.
Noms LDAP
Active Directory est un service d'annuaire conforme LDAP
(Lightweight Directory Access Protocol). Dans
Windows 2000, tout accès à un objet Active
Directory s'effectue à l'aide du protocole LDAP. Il
définit les opérations à effectuer pour
rechercher et modifier des informations dans un annuaire, et la
manière d'accéder de manière sécurisée
à ces informations. Ainsi, c'est LDAP qui est utilisé
pour rechercher ou énumérer des objets d'annuaire et
pour interroger ou administrer Active Directory. (Pour plus
d'informations sur LDAP, voir la section "Protocole LDAP".)
Il est possible de faire porter les requêtes sur le nom
unique LDAP (lui-même un attribut de l'objet), mais comme
ceux-ci sont difficiles à mémoriser, LDAP prend
également en charge les requêtes portant sur d'autres
attributs (par exemple, la couleur pour rechercher les
imprimantes couleur). Vous pouvez ainsi rechercher un objet
même si vous ne connaissez pas son nom unique.
Les formats d'affectation de noms d'objet, pris en charge
par Active Directory et fondés sur le nom unique LDAP,
sont décrits dans les trois sous-sections
suivantes :
Noms RDN et noms uniques LDAP
LDAP fournit des noms uniques (DN) et des noms
uniques relatifs (RDN) aux objets8. Active
Directory met en œuvre ces conventions d'affectation de
noms LDAP avec les variantes illustrées dans le
tableau 2.
Tableau 2. Conventions
d'affectation de noms LDAP et correspondances dans Active
Directory
Convention d'affectation des
noms DN & RDN LDAP |
Convention d'affectation de noms
correspondante dans Active Directory |
cn=nom commun
| cn=nom commun
|
ou=unité
d'organisation
| ou=unité
d'organisation
|
o=organisation
| dc=composant de
domaine
|
c=pays
| (non pris en
charge)
|
Remarque cn=, ou=, … sont des types
d'attributs. Les attributs permettant de détailler le
nom RDN d'un objet sont appelés attributs d'affectation
de nom. Les attributs d'affectation de nom Active
Directory, illustrés en haut à droite, sont
destinés aux classes d'objet Active Directory
suivantes :
-
L'attribut cn est utilisé pour la classe d'objet
utilisateur.
-
L'attribut ou est utilisé pour la classe d'objet
unité d'organisation (OU).
-
L'attribut dc est utilisé pour la classe d'objet
DNS de domaine.
Chaque objet Active Directory possède un nom unique
LDAP. Les objets sont localisés dans les domaines Active
Directory à l'aide d'un chemin hiérarchique
qui inclut les étiquettes du nom de domaine et chaque
niveau d'objet conteneur. Le chemin complet vers l'objet est
défini par le nom unique. Le nom de l'objet lui-même
correspond au nom RDN. Ce nom est le segment du nom unique d'un
objet, attribut de l'objet lui-même.
Représentant le chemin complet vers un objet,
composé du nom de l'objet et de tous ses objets parents
jusqu'à la racine du domaine, le nom unique permet
d'identifier un objet unique dans l'arborescence de domaines.
Chaque nom RDN est stocké dans la base de données
Active Directory et contient une référence à son
parent. Au cours d'une opération LDAP, le nom unique est
construit entièrement en suivant les références
à la racine. Dans un nom unique LDAP complet, le nom RDN
de l'objet à identifier commence sur la gauche avec le nom
de la feuille et se termine sur la droite avec le nom de la
racine, comme le montre l'exemple suivant :
cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com
Le nom RDN de l'objet Utilisateur MDurand est cn=MDurand,
celui de Widget (l'objet parent de MDurand) est ou=Widgets,
etc.
Les outils Active Directory n'affichent pas les
abréviations LDAP des attributs d'affectation de nom (dc=,
ou= ou cn=). Elles apparaissent dans l'exemple pour illustrer
la manière dont LDAP reconnaît les différentes
parties des noms uniques. La plupart des outils Active
Directory affichent les noms d'objets sous leur forme canonique
(décrite plus loin dans ce document). Dans
Windows 2000, les noms uniques permettent aux clients LDAP
de récupérer des informations sur des objets à
partir de l'annuaire, mais aucune interface utilisateur ne
demande d'entrer le nom unique. L'utilisation explicite des
noms uniques, des noms RDN et des attributs d'affectation de
nom est requise uniquement lors de l'écriture de
programmes ou de scripts conformes LDAP.
Noms d'URL LDAP
Active Directory prend en charge l'accès de tous les
clients LDAP à l'aide du protocole LDAP. La RFC 1959
décrit un format d'URL LDAP permettant aux clients
Internet d'accéder directement au protocole LDAP. Les URL
LDAP sont également utilisées dans l'écriture de
scripts. Une telle URL est composée du préfixe
"LDAP", du nom du serveur contenant les services Active
Directory, suivi du nom attribué à l'objet (le nom
unique). Par exemple :
LDAP://serveur1.France.NomOrg.com/cn=MDurand,
ou=Widgets,ou=Fabrication,dc=France,dcNomOrg,dc=com
Noms canoniques LDAP de Active Directory
Par défaut, les outils d'administration de Active
Directory affichent les noms des objets au format de nom
canonique, qui répertorie les noms RDN à partir
de la racine, sans les descripteurs d'attribut d'affectation de
nom RFC 1779 (dc=, ou= et cn=). Le nom canonique utilise le
format DNS, c'est-à-dire que les constituants de la partie
du nom contenant les noms de domaines sont séparés
par des points — France.NomOrg.com. Le tableau 3 montre
les différences entre un nom unique LDAP et le même
nom au format de nom canonique.
Tableau 3. Format de nom unique
LDAP et format de nom canonique
Nom identique dans deux formats différents
Nom unique
LDAP :
|
cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com
|
Nom
canonique :
|
France.NomOrg.com/Fabrication/Widgets/MDurand
|
GUID d'objets
Parallèlement à son nom unique LDAP, chaque objet
Active Directory possède un identificateur globalement
unique (GUID), un numéro à 128 bits assigné
par l'Agent système d'annuaire lors de la création de
l'objet. Le GUID, qui ne peut être ni modifié ni
supprimé, est enregistré dans un attribut,
objectGUID, requis pour chaque objet. À la différence
des noms uniques et RDN susceptibles d'être modifiés,
le GUID ne change jamais.
Si vous enregistrez une référence à un objet
Active Directory dans un magasin de données externe (par
exemple, une base de données Microsoft SQL Server™),
vous devez utiliser l'attribut objectGUID.
Noms d'ouverture de session : noms UPN et noms de
comptes SAM
Comme décrit précédemment, les entités
de sécurité sont des objets sur lesquels s'applique
la sécurité Windows pour l'authentification
d'ouverture de session et les autorisations d'accès aux
ressources. Les utilisateurs représentent le premier type
d'entités de sécurité. Dans Windows 2000,
ils ont besoin d'un nom d'ouverture de session unique pour
accéder à un domaine et à ses ressources. Les
deux types de noms d'ouverture de session — les noms UPN
et les noms de comptes SAM (Security Account Manager) —
sont décrits dans les deux sous-sections ci-dessous.
Noms UPN
Dans Active Directory, chaque compte d'utilisateur
possède un nom UPN (nom utilisateur principal) au
format
<utilisateur>@<nom-domaine-DNS>. Un
nom UPN est un nom convivial assigné par un
administrateur. Il est plus court que le nom unique LDAP
utilisé par le système et plus facile à
mémoriser. Le nom UPN d'un objet Utilisateur est
indépendant de son nom unique, si bien que le
déplacement et la modification du nom de l'objet
n'affectent pas le nom d'ouverture de session de l'utilisateur.
Lors d'une connexion par nom UPN, les utilisateurs ne sont plus
invités à sélectionner un domaine dans une liste
dans la boîte de dialogue d'ouverture de session.
Les noms UPN se composent de trois parties : le
préfixe UPN (nom d'ouverture de session de l'utilisateur),
le caractère @ et le suffixe UPN (en général, un
nom de domaine). Le suffixe UPN par défaut d'un compte
d'utilisateur est le nom DNS du domaine Active Directory dans
lequel se trouve le compte9. Par exemple, le nom UPN
de l'utilisateur Marc Durand, qui possède un compte
d'utilisateur dans le domaine NomOrg.com (si NomOrg.com est le
seul domaine de l'arborescence), est MDurand@NomOrg.com. C'est
un attribut (userPrincipalName) de l'objet entité de
sécurité. Si l'attribut userPrincipalName d'un objet
Utilisateur n'a pas de valeur, l'objet a le nom UPN par
défaut nomUtilisateur@NomDomaineDns.
Si votre organisation possède une arborescence de
domaines composée de nombreux domaines, organisés par
départements et régions, les noms UPN par défaut
peuvent s'avérer encombrants. Par exemple, le nom UPN par
défaut d'un utilisateur pourrait être
ventes.coteouest.microsoft.com. Le nom d'ouverture de session
des utilisateurs dans ce domaine serait
utilisateur@ventes.coteouest.microsoft.com. Au lieu
d'accepter le nom de domaine DNS par défaut comme suffixe
UPN, vous pouvez simplifier l'administration et les processus
de connexion utilisateur en fournissant un suffixe UPN unique
pour tous les utilisateurs. (Le suffixe UPN est utilisé
uniquement au sein du domaine Windows 2000 et il ne
correspond pas nécessairement à un nom de domaine DNS
valide.) Vous pouvez décider d'utiliser votre nom de
domaine de messagerie comme suffixe UPN —
nomUtilisateur@nomEntreprise.com. Le nom UPN de l'utilisateur
de notre exemple devient alors
utilisateur@microsoft.com.
Lors d'une ouverture de session par nom UPN, un catalogue
global peut s'avérer nécessaire, selon
l'identité de l'utilisateur qui se connecte et
l'appartenance de l'ordinateur de l'utilisateur au domaine.
C'est le cas si l'utilisateur se connecte à l'aide d'un
nom UPN différent du nom par défaut et si le compte
d'ordinateur de l'utilisateur se trouve dans un autre domaine
que son compte d'utilisateur. C'est-à-dire si, au lieu
d'accepter le nom de domaine DNS par défaut comme suffixe
UPN (comme dans l'exemple précédent,
utilisateur@ventes.coteouest.microsoft.com), vous
fournissez un suffixe UPN unique pour tous les utilisateurs
(l'utilisateur a alors pour nom utilisateur@
microsoft.com).
L'outil Domaines et approbations Active Directory permet de
gérer les suffixes UPN d'un domaine. Les noms UPN sont
assignés lors de la création d'un utilisateur. Si
vous avez créé des suffixes supplémentaires pour
un domaine, vous devez sélectionner le suffixe de votre
choix dans une liste lorsque vous créez le compte
d'utilisateur ou de groupe. Les suffixes sont
répertoriés dans l'ordre suivant :
Noms de comptes SAM
Un nom de compte SAM (Security Account Manager) est requis
pour la compatibilité avec les domaines Windows
NT 3.x et Windows NT 4.0. Dans l'interface
utilisateur Windows 2000, un nom de compte SAM est
appelé "Nom d'ouverture de session de l'utilisateur (avant
l'installation de Windows 2000)".
Ces noms sont aussi parfois appelés noms plan car,
contrairement aux noms DNS, ils ne sont pas affectés
hiérarchiquement. Comme les noms SAM sont plan, chacun
doit être unique dans le domaine.
Publication d'objets
La publication représente la création
d'objets dans l'annuaire, qui contiennent directement les
informations que vous voulez rendre accessibles ou y font
référence. Par exemple, un objet Utilisateur
contiendra des informations utiles sur les utilisateurs, comme
leurs numéros de téléphone et leurs adresses de
messagerie, tandis qu'un objet Volume contiendra une
référence à un volume d'un système de
fichiers partagé.
Les deux exemples suivants décrivent la publication
d'objets Imprimantes et Fichiers dans Active
Directory :
-
Publication de partage. Vous pouvez publier un
dossier partagé comme objet Volume (également
appelé objet Dossier partagé) dans Active Directory
en utilisant le composant logiciel enfichable Utilisateurs et
groupes Active Directory. Les utilisateurs peuvent ainsi
interroger rapidement et facilement Active Directory sur ce
dossier partagé.
-
Publication d'imprimante. Dans un domaine
Windows 2000, la manière la plus simple de
gérer, de rechercher et de se connecter à des
imprimantes consiste à utiliser Active Directory. Par
défaut10, si vous ajoutez une imprimante
à l'aide de l'Assistant Ajout d'imprimante et
décidez de la partager, Windows 2000 Server la
publie dans le domaine en tant qu'objet Active Directory.
La publication (affichage) d'imprimantes dans Active
Directory permet aux utilisateurs de localiser l'imprimante
la plus appropriée. Ils peuvent interroger
aisément Active Directory sur une de ces imprimantes,
en effectuant une recherche par attributs d'imprimante,
tels que le type (PostScript, couleur, papier de taille
autorisée, etc.) et l'emplacement. Lorsqu'une
imprimante est supprimée du serveur, ce dernier annule
sa publication.
Vous pouvez également publier des imprimantes
non-Windows 2000 (c'est-à-dire des imprimantes
sur des serveurs d'impression autres que Windows 2000)
dans Active Directory. Pour ce faire, utilisez l'outil
Utilisateurs et ordinateurs Active Directory pour entrer le
chemin UNC de l'imprimante. Vous pouvez aussi utiliser le
script Pubprn.vbs inclus dans le dossier System32. La
stratégie de groupe Nettoyage des imprimantes de bas
niveau détermine la manière dont le service de
nettoyage (suppression automatique d'imprimantes) traite
les imprimantes situées sur des serveurs d'impression
non-Windows 2000, lorsqu'une imprimante n'est pas
disponible.
Décision de publication
Vous publiez une information dans Active Directory quand
elle peut être utile ou intéressante pour une partie
importante de la communauté des utilisateurs et quand elle
doit être facilement accessible.
L'information publiée dans Active Directory
présente deux caractéristiques
essentielles :
-
Elle est relativement statique. Publiez uniquement
une information qui change rarement. Les numéros de
téléphone et les adresses de messagerie sont des
exemples d'informations relativement statiques, aptes à
être publiées. Au contraire, le courrier
électronique actuellement sélectionné par
l'utilisateur est un exemple d'information
particulièrement volatile.
-
Elle est structurée. Publiez une information
structurée qui peut être représentée sous
la forme d'un ensemble d'attributs discrets. L'adresse
professionnelle d'un utilisateur est un exemple d'information
structurée, apte à être publiée. Un
extrait audio de la voix de l'utilisateur est un exemple
d'information non structurée mieux adaptée au
système de fichiers.
Les informations de fonctionnement utilisées par les
applications constituent d'excellentes candidates à la
publication dans Active Directory. En font partie les
informations de configuration globales qui s'appliquent à
toutes les instances d'une application donnée. Par
exemple, un produit de bases de données relationnelles
pourrait enregistrer en tant qu'objet dans Active Directory la
configuration par défaut des serveurs de bases de
données. De nouvelles installations du produit pourraient
alors récupérer la configuration par défaut
contenue dans l'objet, ce qui simplifierait le processus
d'installation et augmenterait la cohérence des
installations au sein d'une entreprise.
Les applications peuvent également publier leurs points
de connexion dans Active Directory. Les points de connexion
servent aux rendez-vous client-serveur. Active Directory
définit une architecture pour l'administration de services
intégrée utilisant des objets Points d'administration
de services et fournit des points de connexion standard pour
les applications RPC (Remote Procedure Call), Winsock et COM
(Component Object Model). Les applications qui n'utilisent pas
les interfaces RPC ou Winsock pour publier leurs points de
connexion peuvent publier explicitement des objets point de
connexion de services dans l'annuaire.
Les données des applications peuvent également
être publiées dans l'annuaire avec des objets
spécifiques aux applications. Les données
spécifiques aux applications doivent correspondre aux
critères évoqués plus haut, c'est-à-dire
être globalement intéressantes, relativement non
volatiles et structurées.
Outils de publication
Les outils de publication dépendent de l'application ou
du service concerné :
-
RPC (Remote Procedure Call). Les applications RPC
utilisent la famille de API RpcNs* pour publier leurs points
de connexion dans l'annuaire et pour rechercher les points de
connexion des services qui ont publié les leurs.
-
Windows Sockets. Les applications Windows Sockets
utilisent les familles de API Enregistrement et
Résolution de Winsock 2.0 pour publier leurs points
de connexion et pour rechercher les points de connexion des
services qui ont publié les leurs.
-
DCOM (Distributed Component Object Model). Les services
DCOM publient leurs points de connexion par
l'intermédiaire de la banque de classes DCOM,
hébergée dans Active Directory. DCOM est la
spécification COM de Microsoft qui définit la
manière dont les composants communiquent sur les
réseaux Windows. Utilisez l'outil Configuration DCOM
pour intégrer des applications client-serveur sur
plusieurs ordinateurs. DCOM peut également être
utilisé pour intégrer des applications robustes de
navigateur Web.
Dernière
mise à jour le jeudi 2 mars 2000