Services de domaine Active Directory

Infrastructure Active Directory

Les conditions d’infrastructure requises pour Active Directory incluent les suivantes :

• Configuration de système d’exploitation requise pour les contrôleurs de domaine

• Configuration requise de niveau fonctionnel du domaine ou de la forêt

• Configuration de catalogue global requise

Pour des détails, voir Configuration requise pour l’infrastructure Active Directory dans la documentation du déploiement.

Préparation des services de domaine Active Directory

Remarque :

Nous vous recommandons de déployer les paramètres globaux du conteneur système au lieu du conteneur de configuration. Cela n’améliore pas la sécurité, mais peut induire des améliorations en termes d’extensibilité pour certaines topologies de service de domaine Active Directory. Si vous migrez à partir de Microsoft Office Communications Server 2007 et que vous avez utilisé le conteneur système, mais que vous envisagez maintenant d’utiliser le conteneur de configuration, vous DEVEZ déplacer les paramètres du conteneur système AVANT de commencer la préparation de la mise à niveau. Pour migrer les paramètres du conteneur système vers le conteneur de configuration, consultez les informations se rapportant à l’outil de migration des paramètres globaux Office Communications Server 2007 à l’adresse https://go.microsoft.com/fwlink/?linkid=145236&clcid=0x40C.

Lorsque vous déployez Lync Server 2010, la première étape consiste à préparer les services de domaine Active Directory. Pour Lync Server 2010, cette opération s’effectue en trois étapes :

• Préparer le schéma. Cette tâche étend le schéma dans les services de domaine Active Directory jusqu’à inclure les classes et attributs spécifiques à Lync Server 2010. Pour des détails sur la préparation du schéma, voir Exécution de la préparation du schéma dans la documentation du déploiement. Pour des détails sur le schéma, voir Services de domaine Active Directory - Référence dans la documentation du déploiement

• Préparer la forêt Cette tâche crée les paramètres globaux et les objets dans le domaine racine de la forêt, conjointement aux groupes d’administration et de service universels qui gouvernent l’accès à ces paramètres et objets. Pour des détails sur la préparation de la forêt, voir Exécution de la préparation d’une forêt dans la documentation du déploiement.

• Préparer le domaine. Cette tâche ajoute les entrées de contrôle d’accès (ACE) nécessaires aux groupes universels qui accordent les autorisations pour héberger et gérer les utilisateurs du domaine. Cette tâche doit être effectuée dans tous les domaines où vous voulez déployer les serveurs qui exécutent Lync Server 2010 et dans tous les domaines où résident vos utilisateurs Lync Server. Pour des détails sur la préparation du domaine, voir Exécution de la préparation d’un domaine dans la documentation du déploiement.

Pour une vue d’ensemble du processus complet de préparation d’Active Directory et des droits et autorisations requises pour effectuer chaque étape, voir Configuration requise pour l’infrastructure Active Directory dans la documentation du déploiement.

Groupes universels

Au cours de la préparation de la forêt, Lync Server 2010 crée différents groupes universels au sein des services de domaine Active Directory qui ont l’autorisation d’accéder et de gérer les paramètres et services globaux. Ces groupes universels incluent les suivants :

• Groupes d’administration. Ces groupes définissent les rôles d’administrateur fondamentaux pour un réseau Lync Server. Pendant la préparation de la forêt, ces groupes d’administrateurs sont ajoutés aux groupes d’infrastructure Lync Server.

• Groupes de services   Ces groupes sont des comptes de services requis pour accéder à différents services fournis par Lync Server.

• Groupes d’infrastructure. Ces groupes procurent les autorisations d’accès à différentes zones spécifiques de l’infrastructure Lync Server. Ils fonctionnent en tant que composants des groupes d’administration. Vous ne devez pas les modifier ou leur ajouter d’utilisateurs directement. Pendant la préparation de la forêt, des groupes de services et d’administration spécifiques sont ajoutés aux groupes d’infrastructure appropriés

Pour des détails sur les groupes universels spécifiques créés lors de la préparation d’AD pour Lync Server, ainsi que sur les groupes de service et d’administration qui sont ajoutés aux groupes d’infrastructure, voir Modifications effectuées par la préparation de la forêt dans la documentation du déploiement.

Remarque :

Lync Server 2010 prend en charge les groupes universels dans les systèmes d’exploitation Windows Server 2008 R2 et Windows Server 2008 pour les serveurs qui exécutent Lync Server 2010, ainsi que les systèmes d’exploitation Windows Server 2003 pour les contrôleurs de domaine. Les membres des groupes universels peuvent comprendre d’autres groupes et comptes issus d’un domaine quelconque de l’arborescence de domaine ou de la forêt. Il est possible de leur attribuer des autorisations dans n’importe quel domaine de l’arborescence de domaine ou de la forêt. Associée à la délégation des tâches d’administration, la prise en charge des groupes universels simplifie la gestion d’un déploiement de Lync Server. Ainsi, pour qu’un administrateur puisse gérer deux domaines, il n’est pas nécessaire d’ajouter un domaine à un autre.

Contrôle d’accès basé sur un rôle

En plus de créer des groupes de service et d’administration universels et de les ajouter aux groupes universels appropriés, la préparation de la forêt crée également des groupes de contrôle d’accès basé sur les rôles (RBAC). Pour des détails sur les groupes RBAC spécifiquement créés par la préparation de la forêt, voir Modifications effectuées par la préparation de la forêt dans la documentation du déploiement. Pour plus d’informations sur les groupes RBAC, voir Contrôle d’accès basé sur un rôle.

Entrées de contrôle d’accès (ACE) et héritage

La préparation de la forêt crée à la fois des entrées de contrôle d’accès privées et publiques et, en ajoutant des entrées de contrôle d’accès pour les groupes universels, elle crée des entrées de contrôle d’accès privées spécifiques sur le conteneur de paramètres globaux utilisé par Lync Server. Ce conteneur est utilisé uniquement par Lync Server ; il se trouve dans le conteneur Configuration ou le conteneur System du domaine racine, selon les options vous spécifiez.

L’étape de préparation du domaine ajoute les entrées de contrôle d’accès nécessaires aux groupes universels qui accordent les autorisations d’hébergement et de gestion des utilisateurs dans le domaine. La préparation du domaine créé des entrées de contrôle d’accès sur la racine du domaine et dans trois conteneurs intégrés : Utilisateurs, Ordinateurs et Contrôleurs de domaine.

Pour des détails sur les entrées de contrôle d’accès publiques créées et ajoutées par la préparation de la forêt et la préparation du domaine, voir Modifications effectuées par la préparation de la forêt et Modifications effectuées par la préparation de domaine dans la documentation du déploiement.

Les organisations verrouillent souvent les services de domaine Active Directory (AD DS) dans le but de réduire les risques liés à la sécurité. Toutefois, un environnement Active Directory verrouillé peut limiter les autorisations requises par Lync Server 2010. Cela peut inclure la suppression des entrées de contrôle d’accès des conteneurs et des unités d’organisation ou la désactivation de l’héritage des autorisations sur les objets Utilisateur, Contact, InetOrgPerson ou Ordinateur. Dans un environnement Active Directory verrouillé, les autorisations doivent être manuellement définies sur les conteneurs et les unités d’organisation qui les requièrent. Pour des détails, voir Préparation des services de domaine Active Directory verrouillés dans la documentation du déploiement.

Informations relatives aux serveurs

Durant l’activation, Lync Server 2010 publie des informations sur les serveurs aux trois emplacements suivants dans les services de domaine Active Directory :

• un point de connexion de service sur chaque objet ordinateur Active Directory correspondant à un ordinateur physique sur lequel Lync Server 2010 est installé ;

• les objets serveur créés dans le conteneur de la classe msRTCSIP-Pools ;

• les serveurs approuvés spécifiés dans le Générateur de topologies.

Points de connexion de service

Chaque objet Lync Server 2010 des services de domaine Active Directory est doté d’un point de connexion de service appelé services RTC. Les principaux attributs d’un point de connexion de service sont notamment serviceDNSName, serviceDNSNameType, serviceClassname et serviceBindingInformation. Les applications tierces de gestion des actifs peuvent obtenir des informations sur les serveurs d’un déploiement en recherchant ces attributs, ainsi que d’autres attributs de point de connexion de service.

Objets serveur Active Directory

À chaque rôle Lync Server 2010 correspond un objet Active Directory dont les attributs définissent les services fournis par le rôle. Par ailleurs, lorsqu’un serveur Standard Edition Server est activé, ou lorsqu’un pool Enterprise Edition est créé, Lync Server 2010 crée un nouvel objet msRTCSIP-Pool dans le conteneur msRTCSIP-Pools. La classe msRTCSIP-Pool définit le nom de domaine complet (FQDN) du pool, de même que l’association entre les composants frontal et principal du pool. (Un serveur Standard Edition Server est considéré comme un pool logique dont les composants frontal et principal sont colocalisés sur un même ordinateur.)

Serveurs approuvés

Dans Lync Server 2010, les serveurs approuvés sont ceux spécifiés lorsque vous exécutez le Générateur de topologies et publiez votre topologie. La topologie publiée, avec toutes les informations sur les serveurs, est stockée dans le magasin central de gestion. Seuls les serveurs définis dans le magasin central de gestion sont approuvés. Dans Lync Server 2010, un serveur approuvé remplit les conditions suivantes :

• Le nom de domaine complet (FQDN) du serveur existe dans la topologie stockée dans le magasin central de gestion.

• Le serveur présente un certificat valide émanant d’une autorité de certification approuvée. Pour des détails, voir Certificats pour Lync Server 2010.

Si un de ces critères n’est pas respecté, le serveur n’est pas approuvé et la connexion au serveur est refusée. Cette double exigence permet de contrer une attaque, peu probable, au cours de laquelle un serveur non autorisé tente de s’approprier le nom de domaine complet d’un serveur valide.

De plus, pour permettre aux déploiements Microsoft Office Communications Server 2007 R2 et Microsoft Office Communications Server 2007 de communiquer avec les serveurs Lync Server 2010, Lync Server 2010 crée des conteneurs pendant la préparation de la forêt afin de conserver des listes de serveurs approuvés pour les éditions antérieures. Le tableau ci-dessous décrit les conteneurs créés dans un but de compatibilité avec les déploiements précédents.

Listes de serveurs approuvés et leurs conteneurs Active Directory pour compatibilité avec les éditions précédentes

Pour des détails sur les serveurs approuvés dans les éditions antérieures, voir la documentation de sécurité Office Communications Server 2007 R2 à l’adresse https://go.microsoft.com/fwlink/?linkid=154162&clcid=0x40C et la documentation de sécurité Office Communications Server 2007 à l’adresse https://go.microsoft.com/fwlink/?linkid=213307&clcid=0x40C. Pour prendre en charge les serveurs approuvés des éditions antérieures, vous devez exécuter l’outil de compatibilité descendante. Pour des détails sur l’exécution de l’outil de compatibilité descendante, voir Migration entre Office Communications Server 2007 R2 et Lync Server 2010 à l’adresse https://go.microsoft.com/fwlink/?linkid=205475&clcid=0x40C et Migration entre Office Communications Server 2007 et Lync Server 2010 à l’adresse https://go.microsoft.com/fwlink/?linkid=205476&clcid=0x40C.