Un nouveau message d'événement (ID 2089) donne l'état de la sauvegarde de chaque partition d'annuaire stockée par un contrôleur de domaine, notamment les partitions d'annuaire d'application et les partitions ADAM (Active Directory Application Mode). Si à mi-chemin de l'intervalle de latence de sauvegarde (durée de vie de désactivation), une partition n'a pas été sauvegardée, cet événement est consigné dans le journal des événements du service d'annuaire et répété tous les jours jusqu'à la sauvegarde de la partition.

Les métadonnées de réplication pour les contrôleurs de domaine desquels Active Directory a été supprimé ne sont plus conservées par défaut, même si une période d'attente peut être configurée. Cette modification améliore la sécurité de la réplication et élimine les messages d'erreur associés à des tentatives infructueuses de réplication de contrôleurs de domaine retirés. Pour plus d'informations sur la préservation des métadonnées de réplication, voir « Mode de fonctionnement du modèle de réplication d'Active Directory » (en anglais) sur le site Web de Microsoft à l'adresse http://go.microsoft.com/fwlink/?LinkId=46510.

Les améliorations apportées à l'option Installer à partir du média facilitent la création d'un contrôleur de domaine désigné comme serveur DNS. En effet, une nouvelle option permet d'inclure des partitions de l'annuaire d'applications dans le média de sauvegarde utilisé pour installer le nouveau contrôleur de domaine. Cette option permet d'éviter de recourir à la réplication des partitions de l'annuaire d'applications DomainDNSZones et ForestDNSZones avant que le serveur DNS soit opérationnel.

L'outil de ligne de commande Dcdiag.exe, disponible dans les outils de support Windows, fournit de nouveaux rapports sur l'état global de la réplication en matière de sécurité d'Active Directory. Ce test donne une synthèse des résultats accompagnée d'informations détaillées pour chaque contrôleur de domaine testé et d'un diagnostic des éventuelles erreurs de sécurité. Dcdiag.exe possède également de nouveaux tests DNS concernant la connectivité, la disponibilité du service, les redirecteurs et les indications racine, la délégation, la mise à jour dynamique, les inscriptions des enregistrements de localisateur, la résolution des noms externes et l'infrastructure de l'entreprise. Ces tests sont réalisables sur un seul contrôleur de domaine ou sur tous les contrôleurs de domaine d'une forêt. Pour plus d'informations sur les modifications apportées à Dcdiag.exe, voir la section Dcdiag.exe de cet article.

Sur un même serveur physique exécutant Windows Server 2003 et Microsoft Virtual Server 2005, vous pouvez installer plusieurs contrôleurs de domaine Windows Server 2003 ou Windows 2000 Server sur des machines virtuelles distinctes. Cette plate-forme convient parfaitement aux environnements de test. L'utilisation de machines virtuelles permet d'héberger efficacement plusieurs domaines, plusieurs contrôleurs de domaine pour le même domaine, voire plusieurs forêts sur un seul serveur physique exécutant un seul système d'exploitation. Windows Server 2003 SP1 offre également une protection contre l'endommagement de l'annuaire éventuellement causé par une sauvegarde et une restauration incorrectes des images de contrôleur de domaine. Pour plus d'informations sur l'exécution de contrôleurs de domaine sur des machines virtuelles, voir « Exécution de contrôleurs de domaine dans Virtual Server 2005 » (en anglais) sur le site Web de Microsoft à l'adresse http://go.microsoft.com/fwlink/?LinkId=38330.

Si une opération exigeant un contrôleur de domaine qui détient un rôle de maître d'opérations (également appelé rôle de maître d'opérations uniques flexibles (FSMO, Flexible Single-Master Operations)) ne peut pas être accomplie, les événements sont désormais consignés dans le journal des événements du service d'annuaire. Les événements identifient les détenteurs de rôle qui n'existent pas, qui existent mais ne sont pas disponibles ou qui sont disponibles mais n'ont pas été récemment répliqués avec le contrôleur de domaine en contact. Pour plus d'informations sur les maîtres d'opérations, voir « Mode de fonctionnement des maîtres d'opérations » (en anglais) sur le site Web de Microsoft à l'adresse http://go.microsoft.com/fwlink/?LinkId=38333.

La durée par défaut pendant laquelle la copie d'un objet supprimé est conservée dans Active Directory, appelée durée de vie de désactivation, est prolongée de 60 à 180 jours. La prolongation de la durée de vie de désactivation réduit la probabilité qu'un objet supprimé reste dans l'annuaire local d'un contrôleur de domaine déconnecté lorsque l'objet est définitivement supprimé des contrôleurs de domaine en ligne. La durée de vie de désactivation n'est pas automatiquement modifiée lors de la mise à niveau vers Windows Server 2003 SP1, mais vous pouvez le faire manuellement après la mise à niveau. Les nouvelles forêts installées avec Windows Server 2003 SP1 possèdent une durée de vie de désactivation par défaut de 180 jours. Pour plus d'informations sur la durée de vie de désactivation, voir « Mode de fonctionnement du magasin de données » (en anglais) sur le site Web de Microsoft à l'adresse http://go.microsoft.com/fwlink/?LinkId=38339.

En réaction à des échecs de résolution de noms DNS susceptibles de se produire lors du placement des partenaires de réplication et des serveurs de catalogues globaux, les contrôleurs de domaine exécutant Windows Server 2003 SP1 demandent d'autres variations du nom du serveur éventuellement inscrites. Ainsi, les échecs dus à des délais ou à une configuration incorrecte de DNS sont moins fréquents. Pour plus d'informations sur la résolution de noms DNS, voir « Mode de fonctionnement de la prise en charge DNS pour Active Directory » (en anglais) sur le site Web de Microsoft à l'adresse http://go.microsoft.com/fwlink/?LinkId=38335.

L'outil de ligne de commande Ntdsutil.exe, servant à la gestion de la base de données Active Directory, possède de nouvelles commandes facilitant la suppression des métadonnées d'un contrôleur de domaine. Les étapes préalables de connexion à un serveur, à un domaine et à un site ne sont plus nécessaires. Il suffit de spécifier le serveur à supprimer. Vous pouvez également spécifier le serveur sur lequel effectuer la suppression. Pour plus d'informations sur les modifications apportées à Ntdsutil.exe, voir la section Ntdsutil.exe de cet article.

Pour interdire l'accès en lecture aux attributs confidentiels, par exemple les numéros de sécurité sociale, tout en permettant l'accès en lecture à d'autres attributs d'objet, vous pouvez définir comme confidentiels des attributs spécifiques en appliquant un indicateur de recherche sur l'objet attributeSchema correspondant. Par défaut, seuls les administrateurs de domaine disposent d'un accès en lecture aux attributs confidentiels, mais cet accès peut être délégué. Pour plus d'informations sur l'accès aux attributs, voir « Mode de fonctionnement des descripteurs de sécurité et des listes de contrôle d'accès » (en anglais) sur le site Web de Microsoft à l'adresse http://go.microsoft.com/fwlink/?LinkId=45972.

L'attribut sIDHistory a été ajouté au jeu d'attributs conservés avec un enregistrement désactivé d'objet une fois celui-ci supprimé. Si un objet désactivé est réactivé (récupéré), l'attribut sIDHistory est désormais restauré avec l'objet. Pour plus d'informations sur les enregistrements désactivés, voir « Mode de fonctionnement du magasin de données » (en anglais) sur le site Web de Microsoft à l'adresse http://go.microsoft.com/fwlink/?LinkId=45973.

L'outil de ligne de commande Adprep.exe a été amélioré pour réduire l'effet de la synchronisation du service de réplication de fichiers (FRS) résultant de la mise à jour des fichiers SYSVOL pendant la mise à niveau. Adprep.exe est utilisé pour mettre à niveau le schéma de Windows 2000 Server vers celui de Windows Server 2003 et pour mettre à jour certaines configurations spécifiques aux forêts et aux domaines, notamment SYSVOL, qui est nécessaire pour qu'un contrôleur de domaine Windows Server 2003 soit opérationnel. L'outil permet désormais d'effectuer des opérations SYSVOL au cours d'une étape distincte lors de la préparation du domaine à la mise à niveau. Un nouveau commutateur, /gpprep, a été ajouté pour se charger des mises à jour SYSVOL, qui peuvent être effectuées à un moment opportun après la mise à niveau. Désormais, la commande adprep /domainprep, qui effectuait auparavant les mises à jour de l'annuaire et SYSVOL, met à jour uniquement l'annuaire. En outre, Adprep.exe détecte désormais les extensions de schéma tiers qui bloquent une mise à niveau, identifie les extensions de blocage et conseille des méthodes de résolution. Les objets schéma de Microsoft Exchange Server sont également détectés, de sorte que le schéma Exchange Server peut être préparé convenablement pour tenir compte de l'attribution du nom InetOrgPerson. Pour plus d'informations sur les modifications apportées à Adprep.exe, voir la section Adprep.exe de cet article.

Dans Windows Server 2003 Service Pack 1, deux modifications ont été apportées au comportement du glisser-déplacer dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory de la console MMC (Microsoft Management Console), à la demande de nos clients.

Tout d'abord, par défaut une boîte de dialogue de confirmation s'affiche lorsque vous déplacez des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory de la console MMC. Dans Windows Server 2003, la prise en charge du glisser-déplacer dans Utilisateurs et ordinateurs Active Directory était activée. Cependant, elle ne demandait pas de confirmation lors du déplacement d'objets. Il était donc plus facile de déplacer des objets, mais aussi de les déplacer par erreur au mauvais endroit, ce qui risquait de priver des stations de travail clientes de leur accès à des ressources critiques. Grâce à l'ajout de cette boîte de dialogue de confirmation au comportement du glisser-déplacer, l'administrateur peut corriger une erreur involontaire avant qu'elle n'affecte toute l'entreprise. La boîte de dialogue de confirmation comporte une case à cocher Ne pas afficher ce message si ce composant logiciel enfichable est ouvert.

Si l'utilisateur active la case à cocher Ne pas afficher ce message si ce composant logiciel enfichable est ouvert, la boîte de dialogue ne s'affichera plus durant la session en cours du logiciel enfichable. Les tentatives ultérieures de glisser-déplacer durant cette session seront appliquées sans demande de confirmation.

Si l'utilisateur n'active pas la case à cocher Ne pas afficher ce message si ce composant logiciel enfichable est ouvert, la boîte de dialogue s'affichera chaque fois qu'il tentera de glisser-déplacer un objet.

En second lieu, un administrateur peut choisir de désactiver intégralement la fonction glisser-déplacer en définissant l'attribut indicateurs sur le conteneur Spécificateurs d'affichage. Ce conteneur se trouve dans le répertoire à l'emplacement : CN=DisplaySpecifiers,CN=Configuration,DC=<insert domain name>. Cet attribut peut être défini au moyen de ADSIedit.msc, disponible dans les Outils de support Windows.

Le comportement général est le suivant :

• Si l'attribut indicateurs a une valeur, quelle qu'elle soit, alors le glisser-déplacer est désactivé. Ceci n'est pas le paramétrage par défaut.
  
• Si l'attribut indicateurs n'est pas défini (ce qui est le cas par défaut), alors l'utilisateur pourra utiliser le glisser-déplacer pour déplacer des objets dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory de la console MMC.