Gestion du service Active Directory dans Windows Server 2003

Ce guide présente l'administration du service Active Directory de Windows Server 2003 et du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

Sommaire,Sur cette page

Introduction
Présentation
Utilisation du composant logiciel enfichable Domaines et approbations Active Directory
Utilisation du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory
Autres ressources

Introduction

Guides pas à pas

Les guides pas à pas pour le déploiement de Microsoft Windows Server 2003 fournissent une expérience pratique pour de nombreuses configurations de système d'exploitation courantes. Les guides commencent par établir une infrastructure réseau commune via l'installation de Windows Server 2003, la configuration d'Active Directory, l'installation d'une station de travail Windows XP Professionnel et l'ajout de cette station de travail à un domaine. Les guides pas à pas ultérieurs partent du principe que vous avez déjà mis en place cette infrastructure réseau commune. Si vous ne souhaitez pas suivre cette infrastructure réseau commune, vous devez apporter les modifications appropriées lors de l'utilisation de ces guides.

La mise en place de l'infrastructure réseau commune nécessite que vous ayez lu et appliqué les guides suivants :

• 1ère partie : Installation de Windows Server 2003 en tant que contrôleur de domaine

• 2ème partie : Installation d'une station de travail Windows XP Professionnel et connexion à un domaine

Une fois que vous avez configuré l'infrastructure réseau commune, vous pouvez vous reporter à n'importe quel guide pas à pas supplémentaire. Notez que, dans certains guides pas à pas, d'autres conditions préalables peuvent venir s'ajouter à celles déjà mentionnées pour la mise en place de l'infrastructure réseau commune. Toute condition préalable supplémentaire sera indiquée dans le guide pas à pas correspondant.

Microsoft Virtual PC

Les guides pas à pas pour le déploiement de Windows Server 2003 peuvent être implémentés dans un environnement de laboratoire ou à l'aide de technologies de virtualisation telles que Microsoft Virtual PC 2004 ou Microsoft Virtual Server 2005. La technologie de la machine virtuelle permet aux clients d'exécuter simultanément plusieurs systèmes d'exploitation sur un seul serveur physique. Virtual PC 2004 et Virtual Server 2005 sont conçus pour offrir un meilleur rendement d'exécution en termes de test et développement de logiciels, migration d'applications héritées et scénarios de consolidation de serveur.

Bien que les guides pas à pas de déploiement de Windows Server 2003 supposent que toutes les configurations ont lieu dans un environnement de laboratoire, la plupart des configurations peuvent s'appliquer dans un environnement virtuel sans modification.

L'application des concepts présentés dans ces guides pas à pas dans un environnement virtuel dépasse le cadre de ce document.

Remarques importantes

Les exemples de sociétés, d'organisations, de produits, de noms de domaine, d'adresses de messagerie, de logos, de personnes, de lieux et d'événements décrits dans ce document sont fictifs. Aucune association avec une société, une organisation, un produit, un nom de domaine, une adresse de messagerie, un logo, une personne, un lieu ou un événement réel n'a été voulue ou ne doit être déduite.

Cette infrastructure commune répond à des objectifs d'utilisation sur un réseau privé. Le nom de société fictif et le nom DNS (Domain Name System) utilisés dans l'infrastructure commune ne sont pas enregistrés et ne peuvent donc pas être utilisés sur Internet. Vous ne devez pas utiliser ce nom sur un réseau public ou sur Internet.

La structure du service Active Directory pour cette infrastructure commune est conçue pour illustrer la gestion des modifications et de la configuration de Windows Server 2003 et son interaction avec Active Directory. Elle n'a pas été conçue comme modèle de configuration d'Active Directory pour une organisation.

Présentation

Ce guide présente l'administration du service Active Directory de Windows Server 2003. Les outils d'administration Active Directory facilitent l'administration de ce service d'annuaire. Vous pouvez utiliser les outils classiques ou créer, à l'aide de Microsoft Management Console (MMC), des outils personnalisés spécialisés dans les tâches de gestions uniques. Vous pouvez combiner plusieurs outils dans une seule console. Vous pouvez également affecter des outils personnalisés à chaque administrateur ayant des responsabilités d'administration précises.

Les outils d'administration Active Directory ne peuvent être utilisés qu'à partir d'un ordinateur ayant accès à un domaine. Les outils d'administration Active Directory suivants sont disponibles dans le menu Outils d'administration :

• Utilisateurs et ordinateurs Active Directory

• Domaines et approbations Active Directory

• Sites et services Active Directory

Vous pouvez également gérer Active Directory à distance à partir d'un ordinateur autre qu'un contrôleur de domaine, comme un ordinateur exécutant Windows XP Professionnel. Vous devez pour cela installer le jeu des outils d'administration Windows Server 2003.

Le composant logiciel enfichable Schéma Active Directory est un outil d'administration pour gérer le schéma. Il n'est pas disponible par défaut dans le menu Outils d'administration, et doit y être ajouté manuellement.

Pour les administrateurs avancés et les spécialistes de la prise en charge réseau, il existe un grand nombre d'outils de ligne de commande pouvant être utilisés pour configurer, gérer et dépanner Active Directory. Vous pouvez également créer des scripts utilisant les interfaces ADSI (Active Directory Service Interfaces). Plusieurs exemples de script sont fournis sur le support d'installation du système d'exploitation.

Conditions préalables

• 1ère partie : Installation de Windows Server 2003 en tant que contrôleur de domaine

• 2ème partie : Installation d'une station de travail Windows XP Professionnel et connexion à un domaine

• Guide pas à pas pour la configuration de contrôleurs de domaine supplémentaires

Conditions

• Vous devez être connecté comme utilisateur doté de privilèges administratifs pour exécuter les procédures présentées dans ce document.

• Si vous travaillez sur un contrôleur de domaine, le composant logiciel enfichable Schéma Active Directory n'est pas nécessairement installé. Pour l'installer, procédez comme suit :

  • À l'invite de commande, tapez
    regsvr32 schmmgmt.dll

  Le composant logiciel enfichable Schéma Active Directory est désormais disponible dans MMC.

• Sur les serveurs Windows Server 2003 autonomes ou les stations de travail Windows XP Professionnel, les outils d'administration Active Directory sont facultatifs. Vous pouvez les installer au moyen de l'option Ajout/Suppression de programmes du Panneau de configuration , à l'aide de l'Assistant Composants Windows, ou à partir de ADMINPAK sur le CD de Windows Server 2003.

Utilisation du composant logiciel enfichable Domaines et approbations Active Directory

Le composant logiciel enfichable Domaines et approbations Active Directory fournit un affichage graphique de toutes les arborescences de domaines de la forêt. Grâce à cet outil, un administrateur peut gérer chaque domaine de la forêt, gérer des relations d'approbations entre domaines, configurer le mode d'opération pour chaque domaine (mode natif ou mixte) et configurer les autres suffixes UPN (User Principal Name) pour la forêt.

Démarrage du composant logiciel enfichable Domaines et approbations Active Directory

Pour démarrer le composant logiciel enfichable

1. Sur HQ-CON-DC-01 , cliquez sur le bouton Démarrer , pointez sur Programmes , Outilsd'administration , puis cliquez sur Domaines et approbations Active Directory . Le composant logiciel enfichable Domaines et approbations Active Directory apparaît comme dans la figure 1 ci-dessous.

   

   Figure 1. Composant logiciel enfichable Domaines et approbations Active Directory

L'UPN fournit un style de nomenclature facile à utiliser pour les utilisateurs qui se connectent à Active Directory. La nomenclature UPN est basée sur le standard Internet RFC 822, aussi appelé adresse de messagerie . Le suffixe UPN par défaut est le nom DNS de la forêt, qui correspond au nom DNS du premier domaine dans la première arborescence de la forêt. Dans ce guide pas à pas comme dans les autres guides de cette série, le suffixe UPN par défaut est contoso.com .

Vous pouvez ajouter d'autres suffixes UPN, ce qui améliore la sécurité d'ouverture de session. Vous pouvez également simplifier les noms d'ouverture de session d'utilisateur en fournissant un seul suffixe UPN à tous les utilisateurs. Le suffixe UPN est utilisé uniquement au sein du domaine Windows Server 2003, et ne correspond pas nécessairement à un nom de domaine DNS valide.

Pour ajouter des suffixes UPN

1. Sélectionnez Domaines et approbations Active Directory dans le volet supérieur gauche, cliquez dessus avec le bouton droit, puis cliquez sur Propriétés .

2. Entrez d'autres suffixes UPN préférés dans la zone Autres suffixes UPN et cliquez sur Ajouter .

3. Cliquez sur OK pour fermer la fenêtre.

Modification de la Fonctionnalité des domaines et des forêts

La Fonctionnalité des domaines et des forêts, introduite dans le service Active Directory de Windows Server 2003, permet d'activer des fonctionnalités Active Directory au niveau d'un domaine ou d'une forêt, au sein d'un environnement réseau. Différents niveaux de fonctionnalité de domaine et de forêt sont disponibles en fonction de l'environnement.

Si tous les contrôleurs de domaine de votre domaine ou de votre forêt exécutent Windows Server 2003 et si le niveau fonctionnel est défini sur Windows Server 2003, vous disposerez de l'ensemble des fonctionnalités au niveau du domaine et de la forêt. Si votre domaine ou votre forêt comprend des contrôleurs de domaine Windows NT ® 4.0 ou Windows 2000 combinés à des contrôleurs de domaine exécutant Windows Server 2003, vous ne disposerez que d'un sous-ensemble de fonctionnalités Active Directory au niveau du domaine et de la forêt.

Le concept d'activation des fonctionnalités supplémentaires dans Active Directory existe dans Windows 2000 en modes mixtes et natifs. Les domaines en mode mixte peuvent contenir des contrôleurs secondaires de domaine Windows NT 4.0, mais ne peuvent pas utiliser les groupes de sécurité universels, l'imbrication de groupes ni les capacités d'historique SID (Security ID). Lorsque le domaine est défini sur le mode natif, les groupes de sécurité universels, l'imbrication de groupes et les capacités d'historique SID sont disponibles. Les contrôleurs de domaine exécutant Windows 2000 Server ne prennent pas en compte la fonctionnalité des domaines et des forêts.

Avertissement : Une fois le niveau fonctionnel du domaine augmenté, les contrôleurs de domaine exécutant des systèmes d'exploitation antérieurs ne peuvent pas être introduits dans le domaine. Par exemple, si vous augmentez le niveau fonctionnel de domaine vers Windows Server 2003, les contrôleurs de domaine exécutant Windows 2000 Server ne peuvent pas être ajoutés à ce domaine.

La fonctionnalité de domaine active des fonctionnalités qui affecteront le domaine entier et ce domaine uniquement. Quatre niveaux fonctionnels de domaine sont disponibles : Windows 2000 mixte (par défaut), Windows 2000 natif, Windows Server 2003 version préliminaire et Windows Server 2003. Par défaut, les domaines opèrent au niveau fonctionnel de Windows 2000 mixte.

Pour augmenter la fonctionnalité du domaine

1. Cliquez avec le bouton droit sur l'objet domaine (dans l'exemple, contoso.com ), puis cliquez sur Augmenter le niveau fonctionnel du domaine .

2. Dans la liste déroulante Sélectionner un niveau fonctionnel du domaine disponible , sélectionnez Windows Server 2003 , puis cliquez sur Augmenter .

3. Dans le message d'avertissement, cliquez sur OK pour augmenter la fonctionnalité du domaine. Cliquez à nouveau sur OK pour terminer la procédure.

4. Fermez la fenêtre Domaines et approbations Active Directory .

Utilisation du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory

Pour démarrer le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory

1. Cliquez sur le bouton Démarrer , pointez sur Programmes , Outilsd'administration , puis cliquez sur Utilisateurs et ordinateurs Active Directory .

2. Développez Contoso.com en cliquant sur le signe +.

La figure 2 identifie les principaux composants du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory .

Figure 2. Composant logiciel enfichable Utilisateurs et ordinateurs Active Directory

Reconnaissance des objets Active Directory

Les objets décrits dans le tableau suivant sont créés pendant l'installation du service Active Directory.

Icône	Dossier	Description
	Domaine	Le nœud racine du composant logiciel enfichable représente le domaine administré.
	Ordinateurs	Contient tous les ordinateurs Windows NT, Windows 2000, Windows XP et Windows Server 2003 qui font partie du domaine, ordinateurs exécutant Windows NT versions 3.51 et 4.0 inclus. Si vous procédez à une mise à niveau à partir d'une version antérieure, Active Directory migre le compte d'ordinateur vers ce dossier. Vous pouvez déplacer ces objets.
	Système	Contient des informations sur les systèmes et services Active Directory.
	Utilisateurs	Contient tous les utilisateurs du domaine. Pendant une mise à niveau, tous les utilisateurs du domaine précédent font l'objet d'une migration. Tout comme les ordinateurs, les objets utilisateur peuvent être déplacés.

Vous pouvez utiliser Active Directory pour créer les objets suivants.

Icône	Objet	Description
	Utilisateur	Un objet utilisateur est un objet principal de sécurité de l'annuaire. Un utilisateur peut se connecter au réseau avec ces informations d'identification et disposer d'autorisations d'accès.
	Contact	Un objet contact est un compte qui ne dispose d'aucune autorisation de sécurité. Vous ne pouvez pas vous connecter au réseau en tant que contact. Les contacts représentent les utilisateurs externes dans le cadre de la messagerie.
	Ordinateur	Un objet qui représente un ordinateur sur le réseau. Pour les stations de travail et serveurs Windows NT, il s'agit du compte d'ordinateur.
	Unité d'organisation	Les unités d'organisation (UO) sont utilisées comme conteneurs pour organiser de façon logique des objets d'annuaire tels que les utilisateurs, les groupes et les ordinateurs. Elles sont comparables aux dossiers que vous utilisez pour organiser les fichiers sur votre disque dur.
	Groupe	Les groupes peuvent contenir des utilisateurs, des ordinateurs et d'autres groupes. Ils simplifient la gestion d'un grand nombre d'objets.
	Dossier partagé	Un dossier partagé est un objet réseau qui a été publié dans l'annuaire.
	Imprimante partagée	Une imprimante partagée est une imprimante réseau qui a été publiée dans l'annuaire.

Ajout d'une unité d'organisation

Cette procédure crée une unité d'organisation (OU) dans le domaine Contoso . Notez que vous pouvez créer des unités d'organisation imbriquées et qu'il n'y a pas de limite de niveaux d'imbrication.

Ces étapes suivent la structure Active Directory établie dans les guides pas à pas vers une infrastructure commune. Si vous n'avez pas créé cette structure, ajoutez les unités d'organisation et les utilisateurs directement sous Contoso.com , c'est-à-dire remplacez partout les références Comptes de la procédure par Contoso.com .

Pour ajouter une unité d'organisation

1. Cliquez sur le signe + en regard de Comptes pour le développer.

2. Cliquez avec le bouton droit sur Comptes .

3. Pointez sur Nouveau et cliquez sur Unité d'organisation . Tapez Construction comme nom de la nouvelle unité d'organisation, puis cliquez sur OK .

Répétez les étapes précédentes pour créer les unités d'organisation suivantes :

• Unité d'organisation Ingénierie sous Comptes .

• Unité d'organisation Fabrication sous Comptes .

• Unité d'organisation Consommateur sous l'unité d'organisation Fabrication . Pour cela, cliquez avec le bouton droit sur Fabrication , pointez sur Nouveau , puis cliquez sur Unité d'organisation .

• Unités d'organisation Entreprise et Gouvernement sous l'unité d'organisation Fabrication . Cliquez sur Fabrication afin que son contenu s'affiche dans le volet droit.

Une fois cette procédure terminée, vous devez obtenir la hiérarchie présentée dans la figure 3.

Figure 3. Nouvelles unités d'organisation

Création d'un compte d'utilisateur

La procédure suivante crée le compte d'utilisateur John Smith dans l'unité d'organisation Construction .

Pour créer un compte d'utilisateur

1. Cliquez avec le bouton droit sur l'unité d'organisation Construction , pointez sur Nouveau , puis cliquez sur Utilisateur , ou cliquez sur Nouvel utilisateur dans la barre d'outils du composant logiciel enfichable.

2. Tapez les informations utilisateur indiquées dans la figure 4.

   

   Figure 4. Boîte de dialogue Nouvel utilisateur

3. Cliquez sur Suivant pour continuer.

4. Tapez un mot de passe dans les zones Mot de passe et Confirmer le mot de passe , puis cliquez sur Suivant .

   Remarque : Le rôle joué par les mots de passe dans la sécurisation du réseau d'une organisation est souvent sous-estimé et négligé. Les mots de passe constituent la première ligne de défense contre tout accès non autorisé à votre organisation. La famille Windows Server 2003 dispose d'une nouvelle fonctionnalité exigeant des mots de passe complexes pour chaque nouveau compte d'utilisateur. Pour plus d'informations sur cette fonctionnalité, consultez le guide pas à pas de configuration de la stratégie de mot de passe .

5. Dans la boîte de dialogue suivante, cliquez sur Terminer pour confirmer.

Vous avez créé un compte pour John Smith dans l'unité d'organisation Construction.

Pour ajouter des informations sur cet utilisateur

1. Sélectionnez Construction dans le volet gauche, cliquez avec le bouton droit sur JohnSmith dans le volet droit, puis cliquez sur Propriétés .

2. Ajoutez d'autres informations sur l'utilisateur dans la boîte de dialogue Propriétés sous l'onglet Général , tel qu'indiqué dans la figure 5, puis cliquez sur OK . Cliquez sur chaque onglet disponible et passez en revue les informations utilisateur facultatives pouvant être définies.

   

   Figure 5. Informations utilisateur supplémentaires

Déplacement d'un compte d'utilisateur

Les utilisateurs peuvent être déplacés d'une unité d'organisation à une autre, qu'elle soit ou non dans le même domaine. Par exemple, dans la procédure suivante, John Smith est déplacé de la division Construction à la division Ingénierie.

Pour déplacer un utilisateur d'une unité d'organisation à une autre

1. Cliquez sur le compte d'utilisateur John Smith dans le volet droit, cliquez avec le bouton droit sur ce compte, puis cliquez sur Déplacer .

2. Dans la fenêtre Déplacer , cliquez sur le signe + en regard de Comptes pour le développer, comme indiqué dans la figure 6.

   

   Figure 6. Liste des unités d'organisation disponibles

3. Cliquez sur l'unité d'organisation Ingénierie , puis sur OK .

Création d'un groupe

Pour créer un groupe

1. Cliquez avec le bouton droit sur l'unité d'organisation Ingénierie , cliquez sur Nouveau , puis sur Groupe .

2. Dans la boîte de dialogue Nouvel objet - Groupe , tapez Outils comme nom du groupe.

3. Vérifiez le type et l'étendue des groupes disponibles dans Windows Server 2003, présentés dans le tableau ci-dessous. Conservez les paramètres par défaut, puis cliquez sur OK pour créer le groupe Outils.

   • Le Type de groupe indique si le groupe peut être utilisé ou non pour accorder des autorisations à d'autres ressources réseau, telles que les fichiers et les imprimantes. Les groupes de sécurité et de distribution peuvent être utilisés pour les listes de distribution de courrier électronique.

   • L' étendue du groupe détermine la visibilité du groupe et le type d'objets pouvant être contenus dans le groupe.

     Étendue	Visibilité	Peut contenir
     Domaine local	Domaine	Utilisateurs, domaine local, groupes globaux ou universels
     Global	Forêt	Utilisateurs ou groupes globaux
     Universel	Forêt	Utilisateurs, groupes globaux ou universels

Ajout d'un utilisateur à un groupe

Pour ajouter un utilisateur à un groupe

1. Cliquez sur l'unité d'organisation Ingénierie dans le volet gauche.

2. Cliquez avec le bouton droit sur le groupe Outils dans le volet droit, puis cliquez sur Propriétés .

3. Cliquez sur l'onglet Membres , puis sur Ajouter .

4. Dans la zone de texte Entrez les noms des objets à sélectionner , tapez John , puis cliquez sur OK .

   

   Figure 7 Ajout de John Smith au groupe de sécurité Outils

5. Dans la fenêtre Propriétés de Outils , vérifiez que John Smith est à présent membre du groupe de sécurité Outils , puis cliquez sur OK .

Publication d'un dossier partagé

Pour aider les utilisateurs à trouver les dossiers partagés plus facilement, vous pouvez publier des informations relatives aux dossiers dans Active Directory. Tout dossier réseau partagé, y compris un dossier DFS (Système de fichiers distribués), peut être publié dans Active Directory. La création d'un objet dossier partagé dans l'annuaire n'entraîne pas automatiquement le partage du dossier. Il s'agit d'une procédure en deux étapes : vous devez d'abord partager le dossier, puis le publier dans Active Directory.

Pour partager un dossier

1. Utilisez l' Explorateur Windows pour créer un dossier appelé Spécifications d'ingénierie sur l'un de vos volumes disque.

2. Dans l' Explorateur Windows , cliquez avec le bouton droit sur le dossier Spécifications d'ingénierie, puis cliquez sur Propriétés . Cliquez sur Partage , puis sur Partager ce dossier .

3. Dans la fenêtre Propriétés de Spécifications d'ingénierie , tapez SI dans la zone Nom de partage , puis cliquez sur OK . Fermez ensuite l' ExplorateurWindows .

   Remarque : Par défaut, le groupe prédéfini Tout le monde dispose d'une autorisation d'accès à ce dossier partagé. Vous pouvez modifier l'autorisation par défaut en cliquant sur le bouton Autorisations .

Publication du dossier partagé dans l'annuaire

Pour publier le dossier partagé dans l'annuaire

1. Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory , cliquez avec le bouton droit sur l'unité d'organisation Ingénierie , pointez sur Nouveau , puis cliquez sur Dossier partagé .

2. Dans la fenêtre Nouvel objet - Dossier partagé , tapez Spécificationsd'ingénierie dans la zone Nom .

3. Dans la zone Chemin réseau , tapez \\ hq-con-dc-01.contoso.com \ SI , puis cliquez sur OK .

4. Cliquez avec le bouton droit sur Spécifications d'ingénierie , puis cliquez sur Propriétés .

5. Cliquez sur Mots-clés . Dans la zone Nouvellevaleur , tapez spécifications , puis cliquez sur Ajouter pour continuer. Cliquez deux fois sur OK pour terminer la procédure.

Les utilisateurs peuvent à présent rechercher cette ressource partagée dans Active Directory par nom partagé ou par mot-clé.

Recherche d'un dossier partagé

Pour trouver un dossier partagé

1. Dans la console MMC UtilisateursetordinateursActiveDirectory , cliquez avec le bouton droit sur Contoso , puis cliquez sur Rechercher .

2. Dans la liste déroulante Rechercher , cliquez sur Dossierspartagés . Tapez spécifications dans la zone Mots-clés , puis cliquez sur Rechercher .

3. Dans la zone Résultats dela recherche , cliquez avec le bouton droit sur Spécificationsd'ingénierie , puis cliquez sur Ouvrir .

   

   Figure 8. Recherche de dossiers partagés dans Active Directory

   Remarque : Une fois le dossier partagé SI rempli, son contenu sera accessible aux utilisateurs finaux via des recherches dans l'annuaire. Les utilisateurs peuvent également mapper cette ressource partagée comme lecteur réseau.

4. Fermez la boîte de dialogue RechercherDossierspartagés .

Publication d'une imprimante

Vous pouvez également publier des informations relatives aux imprimantes partagées dans Active Directory. Les informations relatives aux imprimantes partagées à partir de Windows NT doivent être publiées manuellement. Les informations relatives aux imprimantes partagées à partir de la famille Windows Server 2003 ou de la famille Windows 2000 Server sont publiées dans l'annuaire automatiquement lorsque vous créez une imprimante partagée. Utilisez Ordinateurs et utilisateurs Active Directory pour publier manuellement les informations relatives aux imprimantes partagées.

Le sous-système d'impression répercutera automatiquement les changements apportés aux attributs de l'imprimante (emplacement, description, chargement du papier, etc.) dans l'annuaire.

Remarque : Cette section détaille les étapes permettant de configurer et publier une imprimante qui effectue les impressions directement dans un fichier. Si vous souhaitez utiliser une imprimante IP, LPT ou USB, vous devez modifier les étapes de la procédure.

Ajout d'une imprimante

Pour ajouter une imprimante

1. Cliquez sur le bouton Démarrer , sur Imprimantes et télécopieurs , puis double-cliquez sur Ajouter une imprimante . L' Assistant Ajout d'imprimante apparaît. Cliquez sur Suivant .

2. Cliquez sur Imprimante locale connectée à cet ordinateur , désactivez la case à cocher Détection et installation automatique de l'imprimante Plug-and-Play , puis cliquez sur Suivant .

3. Dans la liste déroulante Utiliser le port suivant , cliquez sur l'option FILE: (Impression dans un fichier) , puis sur Suivant .

4. Dans le volet de résultats Fabricant , cliquez sur Générique . Dans le volet de résultats Imprimantes , cliquez sur Générique / document texte . Cliquez sur Suivant pour continuer.

5. Dans la page Donnez un nom à votre imprimante , modifiez le nom de l'imprimante en Impression dans un fichier , puis cliquez sur Suivant .

6. Dans la page Partage d'imprimantes , modifiez le Nom de partage en Imprimante_fichier , puis cliquez sur Suivant .

7. Dans la zone Emplacement de la page Emplacement et commentaires , tapez Siège – Bât. 4 – Salle 2200 . Cliquez sur Suivant pour continuer.

8. Cliquez sur Suivant pour imprimer une page de test, puis sur Terminer pour terminer l'installation.

9. À l'invite, tapez Testimprimante comme nom de fichier pour la page de test de l'imprimante. Cliquez ensuite sur OK .

L'imprimante est automatiquement publiée dans Active Directory.

Localisation d'une imprimante dans Active Directory

Pour rechercher une imprimante dans Active Directory

1. Dans la fenêtre Imprimantes et télécopieurs , double-cliquez sur l'icône Ajouter une imprimante .

2. La boîte de dialogue Assistant Ajout d'imprimante apparaît. Cliquez sur Suivant pour continuer.

3. Cliquez sur Uneimprimante réseau... , puis sur Suivant .

4. Cliquez sur Rechercher une imprimante dans l'annuaire (par défaut), puis sur Suivant .

5. La boîte de dialogue Rechercher Imprimantes s'affiche. Cliquez sur Rechercher pour afficher toutes les imprimantes publiées dans Active Directory. La définition d'options de recherche supplémentaires peut restreindre les résultats selon les fonctions disponibles ou l'emplacement des imprimantes.

   Recherche d'emplacements physiques des imprimantes : Permet de rationaliser les recherches d'imprimantes. Lorsque cette option est activée et que l'utilisateur clique sur Rechercher, Active Directory répertorie l'ensemble des imprimantes correspondant à sa requête qui se trouvent à l'emplacement de l'utilisateur. L'utilisateur peut modifier le champ Emplacement en cliquant sur Parcourir afin de rechercher des imprimantes à d'autres emplacements. Pour plus d'informations sur la configuration de la recherche d'emplacements physiques des imprimantes, reportez-vous au Centre d'aide et de support de Windows Server 2003.

6. Dans les Résultats dela recherche de la page RechercherImprimantes , double-cliquez sur Imprimerdansun fichier pour installer l'imprimante. Cliquez sur Oui (par défaut) pour définir cette imprimante comme imprimante par défaut de votre système, puis sur Suivant .

   

   Figure 9. Recherche d'imprimantes partagées dans Active Directory

7. Cliquez sur Terminer pour achever l'installation de l'imprimante.

8. Fermez la fenêtre Imprimantes et télécopieurs .

Vous pouvez publier des imprimantes partagées par des systèmes d'exploitation autres que Windows Server 2003, Windows 2000 ou Windows XP dans Active Directory. La méthode la plus simple consiste à utiliser le script pubprn.vbs , mais vous pouvez également utiliser le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Ce script permet de publier toutes les imprimantes partagées sur un serveur donné. Il est situé dans le répertoire \ winnt \ system32 .

Publication manuelle d'une imprimante à l'aide du script pubprn.vbs

Pour publier manuellement une imprimante à l'aide du script pubprn.vbs

1. Cliquez sur le bouton Démarrer , puis sur Exécuter . Tapez cmd dans la zone de texte, puis cliquez sur OK .

2. Tapez cd \ windows \ system32 , puis appuyez sur Entrée .

3. Tapez cscript pubprn.vbs prserv1 "LDAP: // ou=comptes,dc=contoso,dc=com" , puis appuyez sur Entrée .

   Remarque : Cet exemple publie l'ensemble des imprimantes du serveur Prserv1 dans l'unité d'organisation Comptes. Le script copie uniquement le sous-ensemble suivant d'attributs de l'imprimante : Emplacement, Modèle, Commentaire et Chemin UNC. Ce script ne fonctionne pas avec Windows Server 2003. Il est fourni à titre d'outil manuel de publication d'imprimantes dans Active Directory à partir de serveurs d'impression de bas niveau.

4. Fermez la fenêtre.

Publication manuelle d'une imprimante à l'aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory

1. Cliquez avec le bouton droit sur l'unité d'organisation Marketing , cliquez sur Nouveau , puis sur Imprimante .

2. La boîte de dialogue Nouvel objet - Imprimante apparaît. Dans la zone de texte, tapez le chemin d'accès à l'imprimante, tel que \\ serveur \ nom de partage , puis cliquez sur OK .

Les utilisateurs finaux bénéficient d'un fonctionnement transparent des imprimantes publiées dans l'annuaire : ils peuvent parcourir les imprimantes, soumettre des travaux d'impression à ces imprimantes et installer les pilotes d'imprimante directement à partir du serveur.

Création d'un objet ordinateur

Un objet ordinateur est automatiquement créé lorsqu'un ordinateur est intégré à un domaine. Si vous ne souhaitez pas que l'ensemble des utilisateurs puisse ajouter des ordinateurs au domaine, vous pouvez créer, manuellement ou à l'aide de scripts, des objets ordinateur avant que l'ordinateur ne soit intégré à un domaine.

Pour ajouter manuellement un ordinateur au domaine

1. Cliquez avec le bouton droit sur l'unité d'organisation Ingénierie , pointez sur Nouveau , puis cliquez sur Ordinateur .

2. Tapez Hérité comme nom d'ordinateur, puis cliquez sur Suivant .

3. Si l'ordinateur est un système géré, vous pouvez entrer le GUID du système. Dans cet exemple, laissez la zone GUID vide, cliquez sur Suivant , puis sur Terminer .

4. Pour gérer cet ordinateur depuis le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory , cliquez avec le bouton droit sur l' objet ordinateur , puis cliquez sur Gérer .

Vous avez la possibilité de sélectionner les utilisateurs qui seront autorisés à intégrer un ordinateur au domaine. Cela permet à l'administrateur de créer le compte d'ordinateur, puis à une personne ayant des autorisations moins étendues d'installer l'ordinateur et de l'intégrer au domaine.

Modification du nom, déplacement et suppression des objets

Chacun des objets de l'annuaire peut être renommé et supprimé. De plus, la plupart des objets peuvent être déplacés dans d'autres conteneurs. La procédure suivante utilise l'exemple de création d'un objet ordinateur.

Pour déplacer l'objet ordinateur Hérité vers un autre conteneur

1. Dans l'unité d'organisation Comptes , cliquez sur l'unité d'organisation Ingénierie .

2. Cliquez avec le bouton droit sur l'objet ordinateur Hérité , puis cliquez sur Déplacer .

3. Développez l'unité d'organisation Ressources , puis sélectionnez Serveurs , comme indiqué dans la figure 10.

   

   Figure 10. Déplacement d'un objet ordinateur

4. Cliquez sur OK pour déplacer l'ordinateur vers l'unité d'organisation Serveurs dans l'unité d'organisation Ressources .

Gestion des objets ordinateur

Dans Active Directory, les objets ordinateur peuvent être gérés directement depuis le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Vous pouvez utiliser le composant Gestion de l'ordinateur pour afficher et contrôler de nombreux aspects de la configuration de l'ordinateur. La Gestion de l'ordinateur associe plusieurs utilitaires d'administration dans une arborescence à une seule console, fournissant un accès facile aux propriétés et aux outils d'administration des ordinateurs locaux ou distants.

Remarque : L'exemple suivant suppose que vous travaillez depuis la console HQ-CON-DC-01 et que HQ-CON-DC-02 est en cours de fonctionnement.

Gestion d'un ordinateur distant

Pour gérer un ordinateur distant

1. Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory , cliquez avec le bouton droit sur contoso.com , puis cliquez sur Se connecter au domaine .

2. Cliquez sur Parcourir , puis sur le signe + en regard de contoso.com . Double-cliquez sur vancouver.contoso.com , puis cliquez sur OK .

3. Développez vancouver.contoso.com en cliquant sur le signe + , puis cliquez sur Contrôleurs de domaine .

4. Cliquez avec le bouton droit sur HQ-CON-DC-02 , puis cliquez sur Gérer . Le système peut à présent être géré à distance, comme indiqué dans la figure 11.

   

   Figure 11. Gestion à distance d'un ordinateur

5. Fermez la fenêtre Gestion del'ordinateur .

Groupes imbriqués

Les groupes imbriqués vous permettent d'offrir un accès aux ressources au niveau de l'entreprise ou d'un service avec un minimum de maintenance. Le regroupement des groupes de comptes d'équipe au sein d'un seul groupe de ressources au niveau de l'entreprise n'est pas efficace, car il implique la création et la maintenance de nombreux liens d'appartenance. Pour utiliser des groupes imbriqués, les administrateurs créent une série de groupes de comptes reflétant la structure de l'entreprise.

Le premier groupe peut être nommé « Tous les employés » et lié à un groupe de ressources donnant accès à des ressources et des répertoires partagés. Le niveau suivant peut comprendre des groupes de comptes représentant les principales divisions de l'entreprise. Chaque groupe de ce niveau est membre de Tous les employés et est lié à un groupe de ressources lui donnant accès à des ressources partagées et d'autres ressources nécessaires à la division correspondante.

Au sein d'une division, le niveau de groupes de comptes suivant peut représenter les services. Les ressources partagées du service peuvent inclure des calendriers de projets, de réunions, de congés ou toute information réseau pertinente pour l'ensemble du service. Les groupes de comptes de service sont tous membres du groupe de comptes de la division.

Au sein d'un service, la structure de gestion peut être organisée en groupes de sécurité, quel que soit le niveau de spécificité requis. Il peut s'agir de groupes de comptes d'équipe représentant des nœuds feuille dans l'arborescence hiérarchique de l'organisation.

Cette hiérarchie de groupe vous permet d'offrir à tout nouvel employé un accès instantané aux ressources de l'équipe, du service, de la division et de l'entreprise en plaçant cet employé dans un groupe de comptes d'équipe. Ce système prend en charge le principe de l'accès minimum car le nouvel employé ne peut pas visualiser les ressources des équipes adjacentes, des autres services ou autres divisions.

Création de groupes imbriqués

Pour créer un groupe imbriqué

1. Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory , cliquez avec le bouton droit sur vancouver.contoso.com , puis cliquez sur Se connecter au domaine .

2. Cliquez sur Parcourir , puis sur contoso.com . Cliquez deux fois sur OK pour terminer la procédure.

3. Développez contoso.com , puis l'unité d'organisation Comptes .

4. Créez un groupe en cliquant avec le bouton droit sur Ingénierie , en pointant sur Nouveau , puis en cliquant sur Groupe . Tapez Tout ingénierie , puis cliquez sur OK .

5. Cliquez avec le bouton droit sur le groupe Tout ingénierie , puis cliquez sur Propriétés .

6. Cliquez sur l'onglet Membres , puis sur Ajouter .

7. Dans la zone de texte Entrez les noms des objets à sélectionner , tapez Outils , puis cliquez sur OK .

8. Cliquez à nouveau sur OK . Un groupe imbriqué a été créé.

Recherche d'objets spécifiques

Dans un déploiement important d'annuaire, il peut être fastidieux d'effectuer une recherche en parcourant une liste complète d'objets. Il est souvent plus pratique de rechercher des objets spécifiques répondant à un critère défini. Dans l'exemple suivant, vous allez rechercher tous les utilisateurs dont le nom d'ouverture de session commence par un « J » dans le domaine Contoso.

Pour rechercher les utilisateurs dont le nom d'ouverture de session commence par un J

1. Cliquez sur contoso.com pour le sélectionner. Cliquez avec le bouton droit sur contoso.com , puis cliquez sur Rechercher .

2. Cliquez sur l'onglet Avancé . Dans la liste déroulante Champ , sélectionnez Utilisateur , puis cliquez sur Nom d'ouverturede session .

3. Tapez J dans la zone Valeur , puis cliquez sur Ajouter . Cliquez sur Rechercher . Vous devez obtenir des résultats similaires à ceux indiqués dans la figure 12.

   

   Figure 12. Utilisation de techniques de recherche avancées dans l'annuaire

4. Fermez la fenêtre Rechercher Utilisateurs, contacts et groupes .

Filtrage d'une liste d'objets

Vous pouvez gérer l'annuaire plus efficacement en filtrant la liste d'objets retournés. Cette option vous permet de limiter le type d'objets retournés au composant logiciel enfichable. Vous pouvez choisir d'afficher uniquement les utilisateurs et les groupes ou de créer un filtre plus complexe, par exemple. Si une unité d'organisation contient un nombre d'objets supérieur au nombre spécifié, la fonction Filtre vous permet de limiter le nombre d'objets affichés dans le volet de résultats. Vous pouvez utiliser la fonction Filtre pour configurer cette option.

Pour créer un filtre destiné à afficher uniquement les utilisateurs

1. Dans le composant logiciel enfichable Utilisateurs etordinateurs Active Directory , cliquez sur Ingénierie sous l'unité d'organisation Comptes .

2. Cliquez sur le menu Affichage , puis sur Options de filtre .

3. Cliquez sur le bouton radio Afficher seulement les types d'objets suivants , sélectionnez Utilisateurs, puis cliquez sur OK .

4. Développez Comptes , puis cliquez sur Ingénierie pour vérifier le résultat du filtrage.

5. Ôtez le filtre .

Autres ressources

Pour plus d'informations, consultez les ressources suivantes :

• Concepts d'architecture Active Directory 

• Microsoft Solutions for Management: Managing the Windows Server Platform Active Directory Directory Service Product Operations Guide 

• Pour obtenir les dernières informations concernant Windows Server 2003, consultez ce site Web