Exporter (0) Imprimer
Développer tout
1 sur 1 ont trouvé cela utile - Évaluez ce sujet

Ntdsutil

Mis à jour: février 2006

S'applique à: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Ntdsutil

Ntdsutil.exe est un outil de ligne de commande qui fournit des fonctions de gestion pour Active Directory. Utilisez Ntdsutil.exe pour effectuer des opérations de maintenance de la base de données Active Directory, gérer et contrôler des opérations maîtres individuelles, ou encore supprimer les métadonnées provenant de contrôleurs de domaine ayant été supprimés du réseau sans procédure de désinstallation appropriée. Cet outil s'adresse aux administrateurs expérimentés.

Pour afficher la syntaxe d'une commande, sélectionnez-la :

Restauration faisant autorité

Restaure les contrôleurs de domaine jusqu'à un instant donné et marque les objets d'Active Directory comme faisant autorité par rapport à leurs partenaires de réplication. Dans les forêts ayant un niveau fonctionnel de Windows Server 2003 ou Windows Server 2003 version préliminaire, cette option restaure également les liens précédents pour les liens créés après l'augmentation du niveau fonctionnel. (Par exemple, les attributs de membre des groupes auxquels l'objet utilisateur restauré appartient sont mis à jour.) Sur les contrôleurs de domaine qui exécutent la version de Ntdsutil incluse dans les outils de support Windows accompagnant Windows Server 2003 Service Pack 1 (SP1), authoritative restore crée un fichier LDIF (LDAP Data Interchange Format) qui peut être utilisé pour restaurer les liens précédents pour les liens créés avant l'augmentation du niveau fonctionnel.

À l'invite authoritative restore:, tapez l'un des paramètres répertoriés sous Syntaxe.

Syntaxe

{create ldif file(s) from %s|restore database|restore database verinc %d|restore object %s|restore object verinc %d|restore subtree %s|restore subtree %s verinc %d}

Paramètres
create ldif file(s) from %s
Disponible dans la version de Ntdsutil incluse dans Windows Server 2003 SP1. Cette option crée un fichier LDIF des mises à jour de liens à partir du fichier texte généré par Ntdsutil qui est nommé dans %s. Ce fichier peut être utilisé pour mettre à jour les liens précédents sur les objets qui appartiennent à un domaine différent de celui de l'objet restauré. Par exemple, ce fichier peut être utilisé pour restaurer l'appartenance au groupe pour un utilisateur lorsque le groupe appartient à un domaine différent de celui l'utilisateur.

restore database
Marque l'ensemble du fichier Ntds.dit (à la fois les partitions d'annuaire de configuration et de domaine, détenues par le contrôleur de domaine) comme faisant autorité. Le schéma ne peut pas faire l'objet d'une restauration faisant autorité.

restore database verinc %d
Marque l'ensemble du Ntds.dit (à la fois les partitions d'annuaire de configuration et de domaine détenues par le contrôleur de domaine) comme faisant autorité et incrémente le numéro de version de %d fois le nombre de jours depuis la sauvegarde. Utilisez cette option uniquement pour effectuer une restauration faisant autorité sur une précédente restauration incorrecte faisant autorité, par exemple une restauration faisant autorité à partir d'une sauvegarde contenant le problème que vous souhaitez restaurer.

%d
Une valeur numérique qui remplace la valeur par défaut 100 000. Le numéro de version de l'objet ou de la base de données en cours de restauration faisant autorité sera augmenté de cette valeur multipliée par le nombre de jours depuis la sauvegarde.

restore object %s
Marque l'objet %s comme faisant autorité. Lorsque vous utilisez la version de Ntdsutil qui est incluse dans Windows Server 2003 SP1, cette option génère également un fichier texte qui contient le nom unique de l'objet restauré et un fichier LDIF qui peut être utilisé pour restaurer les liens précédents pour les objets en cours de restauration faisant autorité (comme l'appartenance au groupe pour les utilisateurs).

restore object %s verinc %d
Marque l'objet %scomme faisant autorité, met à jour les liens comme décrit dans restore object %s et incrémente le numéro de version de %d fois le nombre de jours depuis la sauvegarde. Utilisez cette option uniquement pour effectuer une restauration faisant autorité sur une précédente restauration incorrecte faisant autorité, par exemple une restauration faisant autorité à partir d'une sauvegarde contenant le problème que vous souhaitez restaurer.

restore subtree %s
Marque la sous-arborescence %s (et tous ses enfants) comme faisant autorité. Lorsque vous utilisez la version de Ntdsutil qui est incluse dans Windows Server 2003 SP1, cette option génère également un fichier texte qui contient les noms uniques des objets restaurés et un fichier LDIF qui peut être utilisé pour restaurer les liens précédents pour les objets en cours de restauration faisant autorité (comme l'appartenance au groupe pour les utilisateurs).

restore subtree %s verinc %d
Marque la sous-arborescence %s (et tous ses enfants) comme faisant autorité, met à jour les liens comme décrit dans restore subtree %s et incrémente le numéro de version de %d fois le nombre de jours depuis la sauvegarde. Utilisez cette option uniquement pour effectuer une restauration faisant autorité sur une précédente restauration incorrecte faisant autorité, par exemple une restauration faisant autorité à partir d'une sauvegarde contenant le problème que vous souhaitez restaurer.

%s
Variable alphanumérique, qui peut être soit un nom unique pour un objet ou une sous-arborescence restauré(e), soit un nom de fichier pour un fichier texte utilisé pour créer un fichier LDIF.

quit
Permet de revenir au menu précédent ou de quitter l'utilitaire.

? ou help
Affiche l'aide à partir de l'invite de commandes.

Notes
  • Lorsque vous restaurez un contrôleur de domaine à l'aide de programmes de sauvegarde et de restauration, tels que Ntbackup ou ceux d'autres éditeurs, le mode par défaut de la restauration est le mode ne faisant pas autorité. Cela signifie que le serveur restauré est mis à jour avec ses réplicas par l'intermédiaire du mécanisme de réplication normal. Par exemple, si un contrôleur de domaine est restauré à partir d'une bande de sauvegarde datant de deux semaines, lorsque vous le redémarrez, le mécanisme de réplication normal le met à jour par rapport à ses partenaires de réplication.

  • Vous pouvez être amené à effectuer une restauration faisant autorité si un administrateur supprime par inadvertance une unité d'organisation contenant un grand nombre d'utilisateurs. Si vous restaurez le serveur à partir d'une bande, le processus de réplication normal ne restaure pas l'unité d'organisation supprimée par inadvertance. La restauration faisant autorité vous permet de marquer l'unité d'organisation comme faisant autorité et de forcer le processus de réplication à la restaurer sur tous les autres contrôleurs du domaine.

Configurable settings

Contribue à la modification de la durée de vie des données dynamiques stockées dans Active Directory. À l'invite configurable setting:, tapez l'un des paramètres répertoriés sous Syntaxe.

Syntaxe

{cancel changes|connections|list|set %s to %s|show values}

Paramètres
cancel changes
Annule les modifications apportées, mais pas encore validées.

connections
Appelle le sous-menu server connections.

list
Répertorie le nom des paramètres configurables pris en charge.

set %s to %s
Affecte aux paramètres configurables %s1 la valeur %s2.

show values
Affiche la valeur des paramètres configurables.

%s
Variable alphanumérique, telle que le nom d'un domaine ou d'un contrôleur de domaine.

quit
Permet de revenir au menu précédent ou de quitter l'utilitaire.

? ou help
Affiche l'aide à partir de l'invite de commandes.

Domain management

Permet aux administrateurs membres du groupe Administrateurs de l'entreprise de préparer des objets serveur et de référence croisée dans l'annuaire. À l'invite domain management:, tapez l'un des paramètres répertoriés sous Syntaxe.

Syntaxe

{add nc replica %s %s|connections|create nc %s %s|remove nc replica %s %s|list|list nc information %s|list nc replicas %s|precreate %s %s|delete NC %s|select operation target|set nc reference domain %s %s|set nc reference domain %s %s|set nc replicate notification delay %s %d %d}

Paramètres
add nc replica %s %s
Ajoute le contrôleur de domaine %s2 au jeu de réplicas du contexte %s1 n'étant pas un contexte de nommage de domaines. Si %s2 n'est pas spécifié, le contrôleur de domaine auquel vous êtes connecté est utilisé comme contrôleur par défaut.

connections
Appelle le sous-menu Server connections.

create nc %s %s
Crée le contexte %s1 n'étant pas un contexte de nommage de domaines sur le contrôleur de domaine %s2. Si %s2 n'est pas spécifié, le contrôleur de domaine actuellement connecté est utilisé. Pour ne pas préciser d'argument, entrez (NULL).

remove nc replica %s %s
Supprime le contrôleur de domaine %s2 du jeu de réplicas du contexte %s1 n'étant pas un contexte de nommage de domaines. Si %s2 n'est pas spécifié, le contrôleur de domaine actuellement connecté est utilisé.

list
Répertorie tous les contextes de nommage qui existent dans l'entreprise, les contextes de nommage de schéma et de configuration, ainsi que tous les contextes de nommage de domaines.

list nc information %s
Affiche le domaine de référence et les retards de réplication du contexte autre qu'un contexte de nommage de domaines.

list nc replicas %s
Affiche la liste des contrôleurs de domaine du jeu de réplicas pour le contexte %s n'étant pas un contexte de nommage de domaines. Rappelez-vous qu'il s'agit de la liste des contrôleurs de domaine pouvant détenir des réplicas des contextes autres que les contextes de nommage de domaines, et qu'il est possible que ces réplicas n'aient pas encore été totalement répliqués.

precreate %s %s
Créez un objet de référence croisée pour le domaine %s1, autorisant la promotion d'un serveur nommé %s2 en tant que contrôleur de ce domaine. Le nom de domaine doit être spécifié à l'aide d'un nom unique et le serveur doit être nommé à l'aide du nom DNS pleinement qualifié.

delete nc %s
Supprime le contexte %s n'étant pas un contexte de nommage de domaines. Avant de supprimer un contexte n'étant pas un contexte de nommage de domaines, tous les réplicas doivent être supprimés et leur suppression doit être répliquée sur le maître d'opérations de nommage de domaines.

select operation target
Appelle le sous-menu Select operation target.

set nc reference domain %s %s
Définit %s2 comme domaine de référence du contexte %s1 n'étant pas un contexte de nommage de domaines. Le domaine %s2 doit être spécifié dans le format de nom DNS d'un domaine. Exemple : widgets.microsoft.com.

set nc replicate notification delay %s %d %d
Affecte aux retards de notification du contexte %s (n'étant pas un contexte de nommage de domaines) les valeurs %d1 et %d2, représentant respectivement le retard avant que le premier contrôleur de domaine ne soit informé des changements et celui avant que les autres contrôleurs de domaine n'en soient informés.

%s
Variable alphanumérique, telle que le nom d'un domaine ou d'un contrôleur de domaine.

%d
Une variable numérique, telle que des retards de réplication.

quit
Permet de revenir au menu précédent ou de quitter l'utilitaire.

? ou help
Affiche l'aide à partir de l'invite de commandes.

Files

Fournit les commandes permettant de gérer les fichiers de données et les fichiers journaux du service d'annuaire. Le fichier de données est nommé Ntds.dit. À l'invite files:, tapez l'un des paramètres répertoriés sous Syntaxe.

Syntaxe

{compact to %s|header|info|integrity|move DB to %s|move logs to %s|recover|set path backup %s|set path db %s|set path logs %s|set path working dir %s}

Paramètres
compact to %s (où %s identifie un répertoire cible vide)
Appelle Esentutl.exe pour compresser le fichier de données existant et écrit le fichier compressé dans le répertoire spécifié. Le répertoire peut être distant, c'est-à-dire mappé par l'intermédiaire de la commande net use ou d'une autre commande similaire. Une fois la compression terminée, archivez l'ancien fichier de données et déplacez le nouveau fichier compressé vers l'emplacement d'origine du fichier. ESENT prend en charge la compression en ligne, mais cette compression réorganise uniquement les pages dans le fichier de données et ne libère pas l'espace pour le système de fichiers. Le service d'annuaire appelle régulièrement le processus de compression en ligne.

header
Affiche l'en-tête du fichier de données Ntds.dit à l'écran. Cette commande permet de faciliter la résolution des problèmes d'analyse de base de données.

info
Analyse et signale l'espace libre des disques installés dans le système, lit le Registre, puis signale la taille des fichiers de données et des fichiers journaux. Le service d'annuaire gère le Registre, qui identifie l'emplacement des fichiers de données, des fichiers journaux et du répertoire de travail du service d'annuaire.

integrity
Appelle Esentutl.exe afin d'effectuer une vérification d'intégrité sur le fichier de données, laquelle permet de détecter tout type de corruption de bas niveau de la base de données. Cette commande lit chaque octet du fichier de données ; le traitement des bases de données volumineuses peut donc être une opération longue. Notez que vous devez toujours exécuter la commande Recover avant de procéder à une vérification d'intégrité.

move DB to %s(où %s identifie un répertoire cible)
Déplace le fichier de données Ntds.dit vers le nouveau répertoire spécifié par %s et met à jour le Registre de sorte que, au redémarrage du système, le service d'annuaire utilise le nouvel emplacement.

move logs to %s(où %s identifie un répertoire cible)
Déplace les fichiers journaux du service d'annuaire vers le nouveau répertoire spécifié par %s et met à jour le Registre de sorte que, au redémarrage du système, le service d'annuaire utilise le nouvel emplacement.

recover
Appelle Esentutl.exe afin de procéder à une récupération logicielle de la base de données. La récupération logicielle analyse les fichiers journaux et garantit que toutes les transactions qui y sont validées sont également répercutées dans le fichier de données. Le programme Windows 2000 Backup tronque les fichiers journaux de manière appropriée. Les journaux sont utilisés pour garantir que les transactions validées ne seront pas perdues si votre système connaît une défaillance ou si une coupure de courant inattendue se produit. Les données de transaction sont toujours écrites en premier dans le fichier journal, puis dans le fichier de données. Lorsque vous redémarrez après une défaillance, vous pouvez exécuter de nouveau le journal afin de reproduire les transactions qui ont été validées, mais qui n'avaient pas encore été répercutées dans le fichier de données.

set path backup %s (où %s identifie un répertoire cible)
Définit la cible de sauvegarde entre disques comme étant le répertoire spécifié par %s. Le service d'annuaire peut être configuré pour effectuer une sauvegarde en ligne entre disques à intervalles réguliers.

set path db %s (où %s identifie un répertoire cible)
Met à jour la partie du Registre qui identifie l'emplacement et le nom du fichier de données. Utilisez cette commande uniquement pour reconstruire un contrôleur de domaine ayant perdu son fichier de données et qui n'est pas restauré par l'intermédiaire de procédures de restauration normales.

set path logs %s (où %s identifie un répertoire cible)
Met à jour la partie du Registre qui identifie l'emplacement des fichiers journaux. Utilisez cette commande uniquement pour reconstruire un contrôleur de domaine ayant perdu ses fichiers journaux et qui n'est pas restauré par l'intermédiaire de procédures de restauration normales.

set path working dir %s (où %s identifie un répertoire cible)
Définit la partie du Registre qui identifie le répertoire de travail du service d'annuaire comme étant le répertoire spécifié par %s.

%s
Variable alphanumérique, telle que le nom d'un domaine ou d'un contrôleur de domaine.

quit
Permet de revenir au menu précédent ou de quitter l'utilitaire.

? ou help
Affiche l'aide à partir de l'invite de commandes.

Attention

  • Une modification incorrecte du Registre peut endommager gravement votre système. Avant d'apporter des modifications au Registre, il est conseillé de sauvegarder les données de valeur stockées dans l'ordinateur.

Notes
  • Active Directory est implémenté sur un Gestionnaire de tables de méthode d'accès séquentiel indexé (ISAM, Indexed Sequential Access Method). Il s'agit du même gestionnaire que celui utilisé par Microsoft Exchange Server, le service de réplication de fichiers, l'éditeur de configuration de sécurité, le serveur de certificats, WINS (Windows Internet Name Service) et d'autres composants de Windows. La version de la base de données utilisée par Windows 2000 et Windows Server 2003, Standard Edition est appelée ESENT (Extensible Storage Engine).

    ESENT est un système de base de données basé sur les transactions et qui utilise des fichiers journaux pour prendre en charge des sémantiques d'annulation afin de garantir la validation des transactions dans la base de données. Idéalement, les fichiers journaux et les fichiers de données doivent se trouver sur des unités distinctes afin d'améliorer les performances et de permettre la récupération des données en cas de défaillance d'un disque.

  • ESENT fournit son propre outil pour certaines fonctions de gestion des fichiers de la base de données, à savoir Esentutl.exe, outil également installé dans le dossier systemroot\System32. Plusieurs des commandes de gestion de fichiers de Ntdsutil appellent Esentutl, ce qui permet de limiter la nécessité d'apprendre les arguments de ligne de commande de l'outil. Lorsque Ntdsutil appelle Esentutl, il ouvre une fenêtre distincte configurée avec un large historique, ce qui vous permet de revenir en arrière afin de voir tous les indicateurs de progression de Esentutl.

    Active Directory ouvre ses fichiers en mode exclusif. Cela signifie que les fichiers ne peuvent pas être gérés lorsque le système fonctionne en tant que contrôleur de domaine.

    Pour gérer les fichiers du service d'annuaire

    1. Démarrez l'ordinateur.

    2. Lorsque la barre de progression Démarrage de Windows apparaît, appuyez sur F8.

    3. Dans le Menu d'options avancées de Windows 2000, sélectionnez Mode restauration Active Directory.

    Remarques

    • Le démarrage de l'ordinateur en mode restauration Active Directory implique que le contrôleur de domaine fonctionne provisoirement en tant que serveur autonome. Par conséquent, certains services échouent, en particulier ceux qui sont intégrés au service d'annuaire. Lors du fonctionnement dans ce mode, le Gestionnaire des comptes de sécurité (SAM, Security Accounts Manager) utilise un jeu minimal de définitions d'utilisateur et de groupe stockées dans le Registre. Si votre contrôleur de domaine n'est pas physiquement sécurisé, vous devez définir le mot de passe administratif pour le mode restauration Active Directory.

LDAP policies

Définit les limites d'administration LDAP de l'objet de stratégie de requête par défaut. À l'invite LDAP policies:, tapez l'un des paramètres répertoriés sous Syntaxe.

Syntaxe

{cancel changes|commit changes|connections|list|set %s to %s|show values}

Paramètres
cancel changes
Annule les modifications non validées apportées aux limites d'administration LDAP de la stratégie de requête par défaut.

commit changes
Valide toutes les modifications apportées aux limites d'administration LDAP de la stratégie de requête par défaut.

connections
Appelle le sous-menu Server connections.

list
Répertorie toutes les limites d'administration LDAP du contrôleur de domaine.

set %s1 to %s2
Affecte à la limite d'administration LDAP %s1 la valeur %s2.

show values
Affiche les valeurs actuelles et proposées des limites d'administration LDAP.

%s
Variable alphanumérique, telle que le nom d'un domaine ou d'un contrôleur de domaine.

quit
Permet de revenir au menu précédent ou de quitter l'utilitaire.

? ou help
Affiche l'aide à partir de l'invite de commandes.

Notes
  • Le tableau suivant répertorie et décrit les limites d'administration LDAP, avec les valeurs par défaut notées entre parenthèses.

     

    Valeur Description

    InitRecvTimeout

    Délai de réception initial (120 secondes)

    MaxConnections

    Nombre maximal de connexions ouvertes (5 000)

    MaxConnIdleTime

    Durée maximale d'inactivité d'une connexion (900 secondes)

    MaxActiveQueries

    Nombre maximal de requêtes pouvant être actives simultanément (20)

    MaxNotificationPerConnection

    Nombre maximal de notifications qu'un client peut demander pour une connexion donnée (5)

    MaxPageSize

    Taille de page maximale prise en charge pour les réponses LDAP (1 000 enregistrements)

    MaxQueryDuration

    Durée maximale d'exécution d'une requête par le contrôleur de domaine (120 secondes)

    MaxTempTableSize

    Taille maximale de l'espace de stockage temporaire alloué pour l'exécution de requêtes (10 000 enregistrements)

    MaxResultSetSize

    Taille maximale du jeu de résultats LDAP (262 144 octets)

    MaxPoolThreads

    Nombre maximal de threads créés par le contrôleur de domaine pour l'exécution d'une requête (4 par processeur)

    MaxDatagramRecv

    Nombre maximal de datagrammes pouvant être traités simultanément par le contrôleur de domaine (1024)

  • Pour garantir que les contrôleurs de domaine peuvent prendre en charge les niveaux de service prévus, vous devez préciser des limites opérationnelles pour un certain nombre d'opérations LDAP (Lightweight Directory Access Protocol). Ces limites empêchent des opérations spécifiques d'affecter de manière négative les performances du serveur et rendent en outre le serveur résistant aux attaques de refus de service.

    Les stratégies LDAP sont implémentées à l'aide des objets de la classe queryPolicy. Les objets de stratégie de requête peuvent être créés dans le conteneur Stratégies de requête, qui est un enfant du conteneur Service d'annuaire dans le contexte de nommage de configuration. Exemple : CN=Query-Policies, CN=Directory Service, CN=Windows NT, CN=Services (partition d'annuaire de configuration).

    Un contrôleur de domaine utilise les trois mécanismes suivants pour appliquer des stratégies LDAP :

    • Un contrôleur de domaine peut faire référence à une stratégie LDAP spécifique. L'objet nTDSASettings inclut l'attribut facultatif queryPolicyObject, lequel contient le nom unique d'une stratégie de requête.

    • En l'absence d'une stratégie de requête spécifique appliquée à un contrôleur de domaine, ce dernier applique la stratégie de requête attribuée au site du contrôleur de domaine. L'objet ntDSSiteSettings inclut l'attribut facultatif queryPolicyObject, lequel contient le nom unique d'une stratégie de requête.

    • En l'absence de stratégie de requête spécifique du contrôleur de domaine ou du site, un contrôleur de domaine utilise la stratégie de requête par défaut nommée Stratégie de requête par défaut.

    Un objet de stratégie de requête inclut les attributs à plusieurs valeurs LDAPIPDenyList et LDAPAdminLimits. Ntdsutil permet à l'administrateur de définir les limites d'administration LDAP et la liste de refus IP de l'objet de stratégie de requête par défaut.

Metadata cleanup

Supprime les métadonnées des contrôleurs de domaine ayant échoué. Lorsqu'un contrôleur de domaine ayant échoué stocke la seule copie d'un ou de plusieurs domaines ou d'une ou de plusieurs partitions de l'annuaire d'applications (également nommée « contextes de nommage »), metadata cleanup supprime également les métadonnées pour les domaines ou les partitions de l'annuaire d'applications sélectionnés. Lorsque vous utilisez la version de Ntdsutil.exe qui est incluse dans Windows Server 2003 Service Pack 1 (SP1), metadata cleanup supprime également les connexions FRS (File Replication Service, Service de réplication de fichiers) et essaie de transférer ou de prendre tous les rôles de maître d'opérations détenus par le contrôleur de domaine ayant été retiré.

À l'invite metadata cleanup:, tapez l'un des paramètres répertoriés sous Syntaxe.

Syntaxe

{connections|remove selected domain|remove selected naming context|remove selected server|remove selected server %s|remove selected server %s1 on %s2|select operation target}

Paramètres

Remarques

  • Lorsque vous utilisez la version de Ntdsutil.exe qui est incluse dans Windows Server 2003 SP1, vous pouvez supprimer les métadonnées du serveur en utilisant les commandes remove selected server %s ou remove selected server %s on %2 sans tout d'abord utiliser les sous-menus Server connections et Select operation target.

connections
Appelle le sous-menu Server connections.

remove selected domain
Supprime les métadonnées associées au domaine sélectionné dans le sous-menu Select operation target.

remove selected naming context
Supprime les métadonnées associées au contexte de nommage sélectionné dans le sous-menu Select operation target.

remove selected server
Supprime les métadonnées associées au contrôleur de domaine sélectionné dans le sous-menu Select operation target.

remove selected server %s
Dans la version de Ntdsutil.exe qui est incluse dans Windows Server 2003 SP1, supprime de l'annuaire qui se trouve sur l'hôte local les métadonnées d'annuaire et FRS pour le serveur désactivé %s et essaie de transférer ou de prendre tous les rôles de maître d'opérations détenus par le serveur %s sur l'hôte local.

remove selected server %s1 on %s2
Dans la version de Ntdsutil.exe incluse dans Windows Server 2003 SP1, se connecte au serveur %s2, supprime de l'annuaire qui se trouve sur le serveur %s2 les métadonnées d'annuaire et FRS pour le serveur %s1 et essaie de transférer ou de prendre tous les rôles de maître d'opérations détenus par le serveur %s1 sur le serveur %s2.

select operation target
Appelle le sous-menu Select operation target.

quit
Permet de revenir au menu précédent ou de quitter l'utilitaire.

? ou help
Affiche l'aide à partir de l'invite de commandes.

Notes
  • Le service d'annuaire gère différentes métadonnées pour chaque domaine et chaque serveur connus de la forêt. En général, les domaines et les contrôleurs de domaine sont créés par l'intermédiaire d'une opération de promotion via l'Assistant Installation de Active Directory et sont supprimés par rétrogradation à l'aide du même outil. Vous pouvez appeler l'Assistant Installation de Active Directory en tapant dcpromo à l'invite de commandes.

    La promotion et la rétrogradation sont conçues pour supprimer correctement les métadonnées appropriées. Dans l'annuaire, il arrive cependant que des contrôleurs de domaine soient retirés de façon incorrecte. Dans ce cas, les métadonnées associées ne sont pas supprimées. Par exemple, un contrôleur de domaine connaît une défaillance et plutôt que de tenter de le restaurer, vous décidez de retirer le serveur. Certaines informations relatives au contrôleur de domaine retiré sont alors conservées dans l'annuaire. La procédure générale consiste à se connecter à un serveur qui possède une copie des métadonnées en question, à sélectionner une cible, puis à supprimer les métadonnées de la cible sélectionnée. La version de Ntdsutil.exe incluse dans Windows Server 2003 SP1 peut automatiquement se connecter à un serveur spécifique et supprimer les métadonnées d'une cible spécifiée en une seule opération.

    Attention

    • Ne supprimez pas les métadonnées des domaines et contrôleurs de domaine existants.

Roles

Transfère et adopte des rôles de maîtres d'opérations. À l'invite roles:, tapez l'un des paramètres répertoriés sous Syntaxe.

Syntaxe

{connections|seize domain naming master|seize infrastructure master|seize PDC|seize RID master|seize schema master|select operation target|transfer domain naming master|transfer infrastructure master|transfer PDC|transfer RID master|transfer schema master}

Paramètres
connections
Appelle le sous-menu Server connections.

seize domain naming master
Force le contrôleur de domaine auquel vous êtes connecté à revendiquer le rôle de maître d'opérations de nommage de domaine, indépendamment des données associées au rôle. À utiliser uniquement à des fins de récupération.

seize infrastructure master
Force le contrôleur de domaine auquel vous êtes connecté à revendiquer le rôle de maître d'opérations d'infrastructure, indépendamment des données associées au rôle. À utiliser uniquement à des fins de récupération.

seize PDC
Force le contrôleur de domaine auquel vous êtes connecté à revendiquer le rôle de maître d'opérations PDC, indépendamment des données associées au rôle. À utiliser uniquement à des fins de récupération.

seize RID master
Force le contrôleur de domaine auquel vous êtes connecté à revendiquer le rôle de maître RID, indépendamment des données associées au rôle. À utiliser uniquement à des fins de récupération.

seize schema master
Force le contrôleur de domaine auquel vous êtes connecté à revendiquer le rôle de maître d'opérations de schéma, indépendamment des données associées au rôle. À utiliser uniquement à des fins de récupération.

select operation target
Appelle le sous-menu Select operation target.

transfer domain naming master
Ordonne au contrôleur de domaine auquel vous êtes connecté d'obtenir le rôle de nommage de domaine par l'intermédiaire du transfert contrôlé.

transfer infrastructure master
Ordonne au contrôleur de domaine auquel vous êtes connecté d'obtenir le rôle de maître d'opérations d'infrastructure par l'intermédiaire du transfert contrôlé.

transfer PDC
Ordonne au contrôleur de domaine auquel vous êtes connecté d'obtenir le rôle de maître d'opérations PDC par l'intermédiaire du transfert contrôlé.

transfer RID master
Ordonne au contrôleur de domaine auquel vous êtes connecté d'obtenir le rôle de maître d'opérations RID par l'intermédiaire du transfert contrôlé.

transfer schema master
Ordonne au contrôleur de domaine auquel vous êtes connecté d'obtenir le rôle de maître d'opérations de schéma par l'intermédiaire du transfert contrôlé.

quit
Permet de revenir au menu précédent ou de quitter l'utilitaire.

? ou help
Affiche l'aide à partir de l'invite de commandes.

Notes
  • Bien que Active Directory soit basé sur un modèle d'administration multimaître, certaines opérations ne prennent en charge qu'un maître unique. Pour les opérations multimaître, la résolution des conflits garantit qu'une fois que le système a terminé la réplication, tous les réplicas s'entendent sur la valeur d'une propriété donnée sur un objet donné. Cependant, certaines données, pour lesquelles la résolution des conflits n'est pas possible, sont essentielles pour le fonctionnement général du système. Ces données sont contrôlées par des contrôleurs de domaine individuels, appelés maîtres d'opérations. Ces contrôleurs de domaine jouent un rôle particulier de maître d'opérations.

    Voici les cinq rôles de maître d'opérations, certains à l'échelle de l'entreprise, d'autres à l'échelle du domaine :

    • Maître d'opérations de schéma. Il n'existe qu'un seul rôle de maître d'opérations de schéma pour toute l'entreprise. Ce rôle permet au serveur maître d'opérations d'accepter les mises à jour de schéma. Il existe d'autres restrictions sur les mises à jour de schéma.

    • Maître RID. Il existe un seul maître RID par domaine. Chaque contrôleur d'un domaine a la possibilité de créer des entités de sécurité. Un ID relatif est affecté à chaque entité de sécurité. Un petit ensemble d'ID relatifs est affecté à chaque contrôleur de domaine, parmi le pool d'ID relatifs du domaine. Le rôle de maître RID permet au contrôleur de domaine d'allouer de nouveaux sous-pools parmi le pool d'ID relatifs du domaine.

    • Maître de nommage de domaine. Il existe un seul rôle de maître de nommage de domaine pour toute l'entreprise. Le rôle de maître de nommage de domaine permet à son détenteur de définir de nouveaux objets de référence croisée représentant les domaines du conteneur Partitions.

    • Maître d'opérations PDC. Il existe un seul rôle de maître d'opérations de contrôleur principal de domaine (PDC, Primary Domain Controller) par domaine. Le détenteur du rôle de maître d'opérations PDC identifie quel contrôleur d'un domaine effectue les activités PDC Windows NT 4.0 pour la prise en charge des clients et contrôleurs secondaires de domaine Windows NT 4.0 qui utilisent des versions antérieures de Windows.

    • Maître d'infrastructure. Il existe un seul rôle de maître d'infrastructure par domaine. Le propriétaire de ce rôle garantit l'intégrité référentielle des objets présentant des attributs qui contiennent les noms uniques d'autres objets pouvant exister dans d'autres domaines. Dans la mesure où Active Directory permet de déplacer ou de renommer des objets, le maître d'infrastructure vérifie périodiquement les modifications des objets et préserve l'intégrité référentielle de ces objets.

  • Un rôle de maître d'opérations ne peut être transféré que par un administrateur ; il n'est jamais transféré automatiquement. En outre, le transfert d'un rôle est contrôlé par les mécanismes standard de contrôle d'accès. Ainsi, une entreprise doit contrôler étroitement la détention et le transfert des rôles de maître d'opérations. Par exemple, une organisation disposant d'un grand nombre d'informaticiens peut affecter le rôle de maître d'opérations de schéma à un serveur du service informatique et configurer sa liste de contrôle d'accès (ACL, Access Control List) de sorte qu'il ne puisse pas être transféré.

    Les rôles de maître d'opérations nécessitent deux formes de gestion : le transfert contrôlé et la cessation.

    Utilisez le transfert contrôlé lorsque vous souhaitez transférer un rôle d'un serveur à un autre, par exemple pour effectuer le suivi d'un changement de stratégie par rapport au détenteur des rôles, ou en prévision de l'arrêt, du déplacement ou du retrait d'un serveur.

    La cessation est requise lorsqu'un serveur qui détient un rôle connaît une défaillance et que vous ne prévoyez pas de le restaurer. Même dans le cas d'un serveur récupéré à partir d'une sauvegarde, le serveur ne considère pas qu'il possède un rôle (même si la bande de sauvegarde l'indique), car il ne peut pas déterminer si le rôle a été légitimement transféré à un autre serveur au cours de la période entre la sauvegarde et la récupération du serveur. Le serveur restauré considère qu'il détient le rôle uniquement si un quorum de serveurs existants est disponible au cours de la récupération et qu'ils sont tous d'accord pour affirmer que le serveur restauré est toujours détenteur du rôle.

    Le sous-menu Roles de Ntdsutil est utilisé pour procéder au transfert contrôlé et à la récupération des rôles de maître d'opérations. Le transfert contrôlé est simple et sûr. Dans la mesure où les serveurs source et destination sont en cours d'exécution, le logiciel système garantit que le jeton du rôle de maître d'opérations et les données associées sont transférés de manière atomique. La cessation du rôle de maître d'opérations est tout aussi simple, mais pas aussi sûre. Il suffit d'indiquer à un contrôleur de domaine particulier qu'il est désormais le détenteur d'un rôle donné.

    Attention

    • N'accordez pas à un serveur un rôle par l'intermédiaire de commandes de cessation si le détenteur réel du rôle existe sur le réseau. Vous risqueriez ainsi de provoquer des conflits irrémédiables pour certaines données essentielles du système. Si le détenteur d'un rôle de maître d'opérations est temporairement indisponible, ne faites pas d'un autre contrôleur de domaine le détenteur du rôle. Cela pourrait provoquer une situation dans laquelle deux ordinateurs sont détenteurs du rôle, entraînant des conflits irrémédiables pour certaines données essentielles du système.

Security account management

Gère les identificateurs de sécurité (SID, Security Identifier). À l'invite security account management:, tapez l'un des paramètres répertoriés sous Syntaxe.

Syntaxe

{check duplicate SID|cleanup duplicate SID|connect to server %s|log file %s}

Paramètres
check duplicate SID
Vérifie le domaine de tout objet comportant des identificateurs de sécurité dupliqués.

cleanup duplicate SID
Supprime tous les objets présentant des identificateurs de sécurité dupliqués et enregistre ces entrées dans le fichier journal.

connect to server %s
Se connecte au serveur, au nom NetBIOS ou au nom d'hôte DNS.

log file %s
Définit le fichier journal comme étant %s. Si aucun fichier journal n'est défini de manière explicite, le fichier journal est par défaut Dupsid.log.

%s
Variable alphanumérique, telle que le nom d'un domaine ou d'un contrôleur de domaine.

quit
Permet de revenir au menu précédent ou de quitter l'utilitaire.

? ou help
Affiche l'aide à partir de l'invite de commandes.

Notes
  • Chaque compte de sécurité (utilisateurs, groupes et ordinateurs) est identifié par un SID unique. Utilisez un SID pour identifier de manière unique un compte de sécurité et pour procéder à des vérifications d'accès par rapport à des ressources, telles que des fichiers, des répertoires de fichiers, des imprimantes, des boîtes aux lettres Exchange, des bases de données Microsoft SQL Server, des objets stockés dans Active Directory ou toute autre donnée protégée par le modèle de sécurité de Windows Server 2003, Standard Edition.

    Un SID est constitué d'un en-tête et d'un ensemble d'identificateurs relatifs, qui identifient le domaine et le compte de sécurité. Dans un domaine, chaque contrôleur de domaine peut créer des comptes et affecter à chaque compte un identificateur de sécurité unique. Chaque contrôleur de domaine gère un pool d'ID relatifs qui sont utilisés pour la création des identificateurs de sécurité. Lorsque 80 % du pool d'ID relatifs ont été consommés, le contrôleur de domaine demande un nouveau pool au maître d'opérations RID. Cela permet de garantir que le même pool d'ID relatifs n'est jamais attribué à plusieurs contrôleurs de domaine, évitant ainsi l'allocation d'identificateurs de sécurité dupliqués. Cependant, dans la mesure où il est possible (bien que rare) d'allouer un pool d'ID relatifs dupliqué, vous devez identifier les comptes auxquels des identificateurs de sécurité dupliqués ont été attribués, afin d'éviter toute utilisation indésirable de la sécurité.

    Des pools d'ID relatifs dupliqués peuvent être créés lorsque l'administrateur prend le rôle de maître RID alors que le maître RID original est opérationnel, mais temporairement déconnecté du réseau. En règle générale, après un cycle de réplication, le rôle de maître RID est détenu par un seul contrôleur de domaine ; il est néanmoins possible que, avant la résolution de l'appartenance du rôle, deux contrôleurs de domaine différents demandent un nouveau pool d'ID relatifs et se voient attribuer le même pool.

Semantic database analysis

Analyse les données par rapport aux sémantiques Active Directory. À l'invite semantic database analysis:, tapez l'un des paramètres répertoriés sous Syntaxe.

Syntaxe

{get %d|go|verbose %s}

Paramètres
get %d
Extrait le numéro d'enregistrement %d du fichier Ntds.dit.

go
Lance l'analyse sémantique du fichier Ntds.dit. Un rapport est généré et écrit dans le fichier nommé Dsdit.dmp.n, dans le répertoire en cours, où n est un entier incrémenté chaque fois que vous exécutez la commande.

verbose %s
Active ou désactive le mode commenté.

%d
Une variable numérique, telle que des retards de réplication.

%s
Variable alphanumérique, telle que le nom d'un domaine ou d'un contrôleur de domaine.

quit
Permet de revenir au menu précédent ou de quitter l'utilitaire.

? ou help
Affiche l'aide à partir de l'invite de commandes.

Notes
  • Contrairement aux commandes de gestion décrites précédemment, lesquelles testent l'intégrité de la base de données par rapport aux sémantiques de base de données ESENT, l'analyse sémantique s'effectue sur les données par rapport aux sémantiques Active Directory. Elle génère des rapports sur le nombre d'enregistrements présents, y compris les enregistrements supprimés et fantômes.

    Remarque

    • Les utilisateurs finaux ne doivent pas utiliser cette commande, excepté lorsque Microsoft le leur demande dans le cadre d'une opération de diagnostic.

Set DSRM Password

Réinitialise le mot de passe du mode Restauration des services d'annuaire (DSRM, Directory Services Restore Mode) sur un contrôleur de domaine. À l'invite Reset DSRM Administrator Password:, tapez l'un des paramètres répertoriés sous Syntaxe.

Syntaxe

Reset Password on server %s

Paramètres
Reset Password on server %s
Invite l'utilisateur à saisir un nouveau mot de passe DSRM pour un contrôleur de domaine. Utilisez NULL comme nom du contrôleur de domaine pour réinitialiser le mot de passe DSRM du serveur actuel. Une fois que vous avez saisi ce paramètre, l'invite Please type password for DS Restore Mode Administrator Account: s'affiche. À cette invite, tapez le nouveau mot de passe DSRM souhaité.

%s
Variable alphanumérique, telle que le nom d'un domaine ou d'un contrôleur de domaine.

quit
Permet de revenir au menu précédent ou de quitter l'utilitaire.

? ou help
Affiche l'aide à partir de l'invite de commandes.

Notes
  • Le mot de passe DSRM d'un contrôleur de domaine est initialement défini lorsque l'Assistant Installation de Active Directory (Dcpromo) est exécuté sur un serveur afin de le promouvoir au rang de contrôleur de domaine.

  • Si le contrôleur de domaine se trouve en mode Restauration des services d'annuaire, vous ne pouvez pas réinitialiser le mot de passe DSRM sur un contrôleur de domaine à l'aide de ntdsutil.

Évaluation d'appartenance à un groupe

Les environnements Windows Server 2003 et Windows 2000 Server contenant des structures de groupes complexes peuvent rencontrer des problèmes dus à une limitation de jeton d'accès lors de l'authentification. Ces problèmes peuvent empêcher un utilisateur d'ouvrir une session ou d'accéder à des ressources.

Une version de Ntdsutil est disponible. Celle-ci comprend l'option d'évaluation d'appartenance à un groupe que vous pouvez utiliser pour générer un rapport. En analysant les résultats du rapport, vous pouvez identifier la source du problème.

La version de Ntdsutil proposant l'option d'évaluation d'appartenance au groupe peut être téléchargée à partir du site Web de Microsoft. Pour télécharger cet outil et obtenir plus d'informations sur les limites d'accès et la manière d'utiliser l'option d'évaluation d'appartenance au groupe de Ntdsutil, consultez la page relative à la résolution des problèmes dus à des limites de jeton d'accès (éventuellement en anglais) sur le site Web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=62237).

Notes

  • Par défaut, Ntdsutil.exe est installé dans le dossier systemroot\System32. Pour plus d'informations sur Ntdsutil.exe, voir Utilisation de Ntdsutil.

  • Si la variable comporte des espaces, incluez-la entre parenthèses et non entre guillemets, de la façon suivante :

    connect to server (xxx yyy)

Légende de mise en forme

 

Mise en forme Signification

Italique

Informations que l'utilisateur doit fournir

Gras

Éléments que l'utilisateur doit taper tels qu'ils sont indiqués

Points de suspension (...)

Paramètre pouvant être répété plusieurs fois dans une ligne de commande

Entre crochets ([])

Éléments facultatifs

Entre accolades ({}), avec séparation des options par une barre verticale (|). Exemple : {pair|impair}

Ensemble d'options parmi lesquelles l'utilisateur doit en choisir une seule

Courier font

Code ou données de programme

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

Afficher:
© 2014 Microsoft. Tous droits réservés.