Exporter (0) Imprimer
Développer tout

Vue d’ensemble des services AD LDS (Active Directory Lightweight Directory Services)

Mis à jour: juillet 2007

S'applique à: Windows Server 2008

À l’aide du rôle AD LDS (Active Directory® Lightweight Directory Services) de Windows Server® 2008, anciennement appelé Active Directory en mode application (ADAM), vous pouvez procurer des services d’annuaire aux applications d’annuaire sans être soumis à la surcharge de gestion qu’imposent les domaines et les forêts, ni l’obligation de disposer d’un schéma unique dans l’ensemble d’une forêt.

Consultez les sections suivantes pour en savoir plus sur le rôle de serveur AD LDS et ses fonctionnalités, ainsi que sur les considérations logicielles et matérielles relatives à son installation.

Qu’est-ce que le rôle de serveur AD LDS ?

AD LDS est un service d’annuaire LDAP (Lightweight Directory Access Protocol) qui fournit une prise en charge flexible des applications d’annuaire, sans les dépendances requises pour les services de domaine Active Directory (AD DS). Les services AD LDS sont très similaires aux services de domaine Active Directory (AD DS) en termes de fonctionnalités. Cependant, ils n’imposent pas le déploiement de domaines ou de contrôleurs de domaine. Vous pouvez exécuter simultanément plusieurs instances des services AD LDS sur un même ordinateur, avec un schéma géré indépendamment pour chaque instance AD LDS.

Les services de domaine Active Directory fournissent des services d’annuaire aussi bien pour le système d’exploitation serveur Microsoft® Windows Server que pour les applications d’annuaire. Pour le système d’exploitation serveur, les services de domaine Active Directory stockent des informations critiques sur l’infrastructure du réseau, les utilisateurs et les groupes, les services réseaux, etc. Dans ce rôle, les services de domaine Active Directory doivent respecter un schéma unique dans l’ensemble d’une forêt.

D’autre part, le rôle de serveur AD LDS assure des services d’annuaire spécifiquement pour les applications d’annuaire. Les services AD LDS ne nécessitent ni domaines, ni forêts Active Directory. Toutefois, dans les environnements où les services de domaine Active Directory sont présents, les services AD LDS peuvent utiliser les services de domaine Active Directory pour l’authentification des entités de sécurité Windows.

Quand convient-il d’utiliser le rôle de serveur AD LDS ?

Les sections suivantes décrivent les solutions d’annuaire des services AD LDS pour les entreprises.

Magasin d’annuaires professionnel

Les services AD LDS constituent une solution d’annuaire LDAP pour les entreprises. Toutes les applications d’annuaire d’entreprise peuvent utiliser les services AD LDS comme magasin d’annuaires.

Les services AD LDS peuvent stocker des données d’annuaire « privées », qui concernent uniquement l’application, dans un service d’annuaire local (de préférence sur le serveur où réside l’application), sans aucune configuration supplémentaire de l’annuaire du système d’exploitation serveur. Ces données, qui concernent uniquement l’application et ne doivent pas être répliquées à grande échelle, sont stockées exclusivement dans l’annuaire AD LDS associé à l’application. Cette solution réduit le trafic de réplication sur le réseau entre les contrôleurs de domaine qui gèrent l’annuaire du système d’exploitation du serveur. Cependant, si besoin est, vous pouvez configurer ces données de sorte qu’elles soient répliquées entre plusieurs instances AD LDS.

Les applications d’entreprise doivent bien souvent stocker les données de personnalisation qui sont associées aux utilisateurs authentifiés dans AD DS. Le stockage de ces données de personnalisation dans les services de domaine Active Directory entraînerait l’obligation de modifier le schéma des services de domaine Active Directory. Dans ce scénario, une application peut recourir aux services AD LDS pour stocker les données spécifiques à l’application (telles que les informations de gestion et de stratégie) alors qu’elle utilise les entités de sécurité de l’utilisateur dans les services de domaine Active Directory pour l’authentification et pour contrôler l’accès aux objets dans les services AD LDS. Dans une solution de ce type, il n’est pas nécessaire que chaque annuaire AD LDS possède sa propre base de données utilisateur. Par conséquent, cette solution empêche la prolifération des ID et des mots de passe utilisateur pour les utilisateurs finaux chaque fois qu’une nouvelle application d’annuaire est introduite sur le réseau.

Magasin d’authentification pour un extranet

Prenons l’exemple d’une application de portail Web qui gère l’accès extranet aux identités des applications et services professionnels de l’entreprise qui sont externes aux services de domaine Active Directory de l’entreprise. Prenons un autre exemple : un scénario d’hébergement dans lequel un fournisseur offre des services de stockage et de domaine à ses clients en gérant et en mettant à jour les serveurs de données ou Web dédiés aux clients, alors qu’aucun client n’a accès à ces serveurs.

Ces serveurs et ces applications de portail qui sont déployés dans un extranet ont des besoins personnalisés en termes d’identité. Ils nécessitent un magasin d’authentification pour enregistrer les informations d’autorisation des identités qu’ils traitent. Les services AD LDS conviennent tout à fait comme magasin d’authentification car ils peuvent héberger des objets utilisateur qui ne sont pas des entités de sécurité Windows mais qui peuvent être authentifiés à l’aide de liaisons simples LDAP. En d’autres termes, les clients Web ont la possibilité d’être traités par des applications de portail pouvant s’exécuter sur n’importe quelle plateforme alors qu’ils utilisent les services AD LDS comme magasin d’authentification LDAP simple.

Si une application de portail que vous déployez dans un extranet doit traiter des identités internes authentifiées par les services de domaine Active Directory qui sont actuellement situées hors du pare-feu de l’entreprise, vous pouvez quand même déployer les services AD LDS comme magasin d’authentification avec les informations d’identification de compte de l’entreprise de ces identités installées sur les instances extranet des services AD LDS, comme l’indique l’illustration suivante.

Fourniture d'un magasin d'authentification extranet.

Vous pouvez également déployer les services AD LDS comme magasin d’authentification de l’extranet en parallèle aux services AD FS (Active Directory Federation Services). Cette configuration permet aux technologies d’authentification unique via le Web (SSO) d’authentifier les utilisateurs auprès de plusieurs applications Web à l’aide d’un compte d’utilisateur unique. Pour plus d’informations, voir Vue d’ensemble des services ADFS (Active Directory Federation Services) (http://go.microsoft.com/fwlink/?LinkId=95311).

Consolidation des systèmes d’identité

Vous pouvez être confronté à un scénario dans lequel une restriction de modèle de données (par exemple, une vue de partition LDAP ou d’unité d’organisation unique) est imposée sur une application d’annuaire professionnelle devant accéder aux données associées aux applications, aux ressources réseau ou aux utilisateurs authentifiés par les services de domaine Active Directory situés dans plusieurs forêts, domaines ou unités d’organisation de l’entreprise. Les informations d’identité de cette application d’annuaire doivent être consolidées à partir de plusieurs forêts, domaine et unités d’organisation Active Directory, ou à partir de plusieurs systèmes d’identité et d’autres annuaires, tels que des bases de données de ressources humaines, des bases de données SAP, des répertoires téléphoniques, etc.

Les services AD LDS offrent une solution d’annuaire de consolidation car vous pouvez les déployer avec un méta-annuaire. Les méta-annuaires, tels que Microsoft Identity Integration Server (MIIS) ou Microsoft Identity Integration Feature Pack (IIFP), qui est une version légère et gratuite de MIIS, peuvent fournir aux applications d’annuaire une vue cohérente de toutes les informations d’identité connues sur les utilisateurs, les applications et les ressources réseau de l’entreprise en assurant l’intégration des identités, la synchronisation des annuaires, l’attribution ou la suppression des droits d’accès des comptes, ainsi que la synchronisation des mots de passe entre les services AD DS et AD LDS, comme l’indique l’illustration suivante.

Consolidation des systèmes d'identité.

Environnement de développement pour les services AD DS et AD LDS

Les services AD LDS utilisent le même modèle de programmation que les services de domaine Active Directory (AD DS), et pratiquement le même mode d’administration. Par conséquent, ces services AD LDS constituent une bonne solution pour les développeurs qui testent et qui déploient actuellement différentes applications intégrées à Active Directory. Par exemple, si une application en cours de développement requiert un schéma différent du schéma actuel des services AD DS du système d’exploitation serveur, le développeur de l’application peut utiliser les services AD LDS pour fournir à l’application un schéma personnalisé qui fonctionne pour les besoins professionnels, les exigences en matière de données et les processus de workflow, sans modifier la configuration du déploiement d’Active Directory de l’entreprise. Les développeurs peuvent utiliser une instance locale des services AD LDS sur une station de travail de développement, puis transférer l’application ultérieurement vers les services de domaine Active Directory.

Les développeurs souhaiteront peut-être utiliser un annuaire simple facilitant la programmation, sans nécessité d’une prise en charge étendue au niveau du matériel ou de l’installation durant le processus de développement. Les services AD LDS peuvent être aisément installés ou désinstallés sur les stations de travail des développeurs. Ainsi, la restauration à un état propre est rapide durant les processus de prototype et de développement de l’application.

Magasin de configuration pour les applications distribuées

Vous possédez peut-être une application distribuée qui nécessite un magasin de configuration avec des fonctionnalités de réplication et de mise à jour multimaître pour traiter ses nombreux composants ; par exemle, une application de pare-feu qui accède aux données de ports d’application et réseau, une application de filtrage du courrier indésirable qui accède à des listes d’adresses de messagerie ou une application de flux de travail qui accède à des données de stratégie et d’entreprise. Vous pouvez déployer les services AD LDS comme magasin de configuration léger pour ces applications, comme l’indique l’illustration suivante.

Fourniture d'un magasin de configuration pour applications distribuées

Dans ce scénario, une instance des services AD LDS qui joue le rôle de magasin de configuration de l’application est intégrée à une application distribuée. De cette manière, les concepteurs d’application n’ont pas besoin de se préoccuper de la disponibilité d’un service d’annuaire avant l’installation de l’application. Il leur suffit d’inclure les services AD LDS lors du processus d’installation de leur application pour s’assurer que l’application a accès à un service d’annuaire immédiatement lors de l’installation. Ensuite, l’application configure et gère les services AD LDS de manière autonome ou partiellement, en fonction son exposition à la gestion des services AD LDS, et elle utilise les services AD LDS pour résoudre ses diverses exigences en matière de données.

Migration des applications d’annuaire existantes

Votre organisation peut utiliser un annuaire déjà établi avec la convention de noms X.500 (O=<organisation>,C=<pays>) pour traiter différentes applications existantes, mais elle peut également souhaiter migrer son annuaire d’entreprise vers les services de domaine Active Directory. Dans ce cas, vous pouvez utiliser les services AD LDS comme solution provisoire. Vous pouvez déployer les services AD LDS pour traiter les applications existantes reposant sur la convention de noms X.500 et pour assurer leur prise en charge. D’autre part, vous pouvez utiliser les services de domaine Active Directory (AD DS) dans l’entreprise pour offrir une infrastructure de sécurité partagée. Vous pouvez employer un méta-annuaire (tel que MIIS) pour synchroniser automatiquement les données des services AD DS et AD LDS afin d’assurer la transparence de la migration. L’illustration suivante décrit ce déploiement des services AD LDS.

Migration des application d'annuaire existantes.

Fonctionnalités du rôle de serveur AD LDS

Vous pouvez utiliser le rôle de serveur AD LDS pour créer plusieurs instances AD LDS sur un même ordinateur. Chaque instance s’exécute en tant que service distinct dans son propre contexte d’exécution. Le rôle de serveur AD LDS offre les fonctionnalités suivantes pour faciliter la création, la configuration et la gestion des instances AD LDS :

  • un Assistant qui vous guide tout au long du processus de création d’une instance AD LDS ;

  • des outils de ligne de commande pour effectuer une installation ou une suppression sans assistance d’instances AD LDS ;

  • des composants logiciels enfichables de la console MMC (Microsoft Management Console) pour configurer et gérer les instances AD LDS, y compris le schéma de chaque instance ;

  • des outils de ligne de commande spécifiques à AD LDS pour gérer, renseigner et synchroniser les instances AD LDS.

Outre ces outils, vous pouvez également utiliser de nombreux outils Active Directory pour administrer les instances AD LDS.

Le système d’exploitation Windows Server 2008 propose les fonctionnalités AD LDS supplémentaires répertoriées dans le tableau suivant.

 

Fonctionnalité Description

Génération d’Installation à partir du support

Avec cette fonctionnalité, vous pouvez utiliser un processus Ntdsutil.exe ou Dsdbutil.exe en une étape pour créer un support d’installation pour des installations AD LDS ultérieures.

Auditer les modifications des services AD LDS (Active Directory Lightweight Directory Services)

Avec cette fonctionnalité, vous pouvez configurer l’audit des services AD LDS avec une nouvelle sous-catégorie d’audit permettant de journaliser les anciennes et les nouvelles valeurs lorsque des modifications sont apportées aux objets et à leurs attributs.

noteRemarque
Cette fonctionnalité s’applique également aux services AD DS. Pour plus d’informations, voir AD DS : Audit (http://go.microsoft.com/fwlink/?LinkId=94846).

Outil de montage de base de données

Avec cette fonctionnalité, vous pouvez afficher des données d’annuaire stockées en ligne dans des captures instantanées effectuées à différents moments, afin de prendre des décisions informées quant aux données à restaurer, sans avoir à redémarrer le serveur.

noteRemarque
Cette fonctionnalité s’applique également aux services AD DS. Pour plus d’informations, voir Services de domaine Active Directory : Outil de montage de base de données (http://go.microsoft.com/fwlink/?LinkId=94847).

Prise en charge des sites et services Active Directory

Avec cette fonctionnalité, vous pouvez utiliser le composant logiciel enfichable Sites et services Active Directory pour gérer la réplication entre des instances AD LDS. Pour pouvoir utiliser cet outil, vous devez importer les classes dans MS-ADLDS-DisplaySpecifiers.LDF afin d’étendre le schéma d’un jeu de configuration que vous gérez. Pour vous connecter à une instance AD LDS qui héberge votre jeu de configuration, spécifiez le nom d’ordinateur et le numéro de port d’un serveur qui héberge cette instance AD LDS.

Liste dynamique de fichiers LDIF (LDAP Data Interchange Format) pendant l’installation d’une instance

Avec cette fonctionnalité, vous pouvez rendre des fichiers LDIF personnalisés disponibles pendant l’installation d’une instance AD LDS (en plus des fichiers LDIF par défaut fournis avec AD LDS) en ajoutant ces fichiers au répertoire %systemroot%\ADAM.

Requêtes récursives basées sur des attributs liés

Avec cette fonctionnalité, vous pouvez créer une requête LDAP unique qui peut suivre des liens d’attributs imbriqués. Elle peut se révéler très utile pour déterminer l’appartenance aux groupes et l’ascendance. Pour plus d’informations, voir l’article 914828 de la Base de connaissances Microsoft (http://go.microsoft.com/fwlink/?LinkId=94828).

Considérations liées au matériel et aux logiciels

Utilisez des compteurs de performance, des tests en laboratoire, des données provenant du matériel existant dans un environnement de production et des déploiements pilotes pour déterminer la capacité requise pour votre serveur.

noteRemarque
 Un ensemble limité de rôles serveur est disponible pour l'option d'installation en tant que serveur principal de Windows Server 2008 et de Windows Server 2008 pour les systèmes à architecture Itanium.

Installation des services AD LDS

À l’issue de l’installation du système d’exploitation, la liste des tâches de configuration initiales s’affiche. Pour installer les services AD LDS, dans la liste des tâches, cliquez sur Ajouter des rôles, puis sur Services AD LDS (Active Directory Lightweight Directory Services).

Après avoir ajouté le rôle de serveur AD LDS à votre serveur, vous pouvez créer une instance AD LDS. Pour créer une instance AD LDS, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Assistant Installation des services AD LDS (Active Directory Lightweight Directory Services).

Gestion d’une instance AD LDS

Vous pouvez gérer les instances AD LDS à l’aide du composant logiciel enfichable MMC Éditeur d’interface ADSI. Pour gérer une instance AD LDS, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Éditeur ADSI.

Informations complémentaires

Pour en savoir plus sur les services AD LDS, cliquez sur le lien Aide sur le rôle AD LDS dans le Gestionnaire de serveur.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft