Vue d’ensemble des services de domaine Active Directory
S'applique à: Windows Server 2012
.jpeg "All_Symbols_Cloud")
|
Saviez-vous que Microsoft Azure offre une fonctionnalité similaire dans le cloud ? En savoir plus sur les solutions de gestion des identités Microsoft Azure. Créer une solution d’identité hybride dans Microsoft Azure : |
En utilisant le rôle serveur des services de domaine Active Directory® (AD DS), vous pouvez créer une infrastructure évolutive, sécurisée et gérable pour la gestion des utilisateurs et des ressources, et offrir une prise en charge des applications d’annuaire, telles que Microsoft® Exchange Server.
Le reste de cette rubrique décrit une vue d’ensemble du rôle serveur AD DS. Pour plus d’informations sur les nouvelles fonctionnalités des services de domaine Active Directory dans Windows Server 2012, voir Nouveautés des services de domaine Active Directory (AD DS).
Les services AD DS fournissent une base de données distribuée qui stocke et gère des informations sur les ressources réseau et les données spécifiques à des applications provenant d’applications utilisant un annuaire. Un serveur qui exécute les services AD DS est appelé contrôleur de domaine. Les administrateurs peuvent utiliser AD DS pour organiser les éléments d’un réseau, tels que les utilisateurs, les ordinateurs et les autres périphériques, en une structure hiérarchique de type contenant-contenu. La structure hiérarchique de type contenant-contenu inclut la forêt Active Directory, les domaines inclus dans la forêt et les unités d’organisation de chaque domaine.
L’organisation des éléments d’un réseau en une structure hiérarchique de type contenant-contenu offre les avantages suivants :
La forêt fait office d’étendue de sécurité pour une organisation et définit l’étendue de l’autorité des administrateurs. Par défaut, une forêt contient un domaine unique, appelé également domaine racine de la forêt.
D’autres domaines peuvent être créés dans la forêt pour assurer le partitionnement des données AD DS, ce qui permet aux organisations de répliquer des données uniquement là où cela est nécessaire. Il est ainsi possible d’adapter de manière globale les services AD DS sur un réseau disposant d’une bande passante limitée. Un domaine Active Directory prend en charge également plusieurs autres fonctions principales liées à l’administration, dont l’identité des utilisateurs, l’authentification et les relations d’approbation à l’échelle du réseau.
Les unités d’organisation simplifient la délégation de l’autorité pour faciliter la gestion d’un grand nombre d’objets. Par le biais de la délégation, des propriétaires peuvent transférer une autorité complète ou limitée sur des objets à d’autres utilisateurs ou groupes. La délégation est importante car elle aide à distribuer la gestion d’un grand nombre d’objets à plusieurs personnes chargées d’effectuer des tâches de gestion.
La sécurité est intégrée aux services AD DS par l’authentification de connexion et le contrôle d’accès aux ressources de l’annuaire. À l’aide d’une ouverture de session réseau unique, les administrateurs peuvent gérer les données et l’organisation de l’annuaire par le biais de leur réseau. Les utilisateurs réseau autorisés peuvent également utiliser une ouverture de session réseau unique pour accéder à des ressources à tout emplacement sur le réseau. L’administration basée sur des stratégies facilite même la gestion des réseaux les plus complexes.
Les autres fonctionnalités AD DS sont notamment les suivantes :
Un ensemble de règles, le schéma, qui définit les classes d’objets et les attributs contenus dans l’annuaire, les contraintes et les limites qui s’appliquent aux instances de ces objets, ainsi que le format de leurs noms.
Un catalogue global qui contient des informations sur chaque objet de l’annuaire. Les utilisateurs et les administrateurs peuvent utiliser le catalogue global pour rechercher des informations dans l’annuaire, quel que soit le domaine de l’annuaire qui contient les données.
Un mécanisme de requête et d’index, de sorte que les objets et leurs propriétés puissent être publiés et recherchés par les utilisateurs du réseau ou des applications.
Un service de réplication qui distribue les données d’annuaire sur l’ensemble du réseau. Tous les contrôleurs de domaine accessibles en écriture dans un domaine participent à la réplication et contiennent une copie complète de toutes les informations d’annuaire liées à leur domaine. Toute modification des données d’annuaire est répliquée sur tous les contrôleurs de domaine inclus dans le domaine.
Les rôles de maître d’opérations (également appelés opérations à maître unique flottant ou FSMO). Les contrôleurs de domaine qui détiennent des rôles de maître d’opérations sont désignés pour effectuer des tâches spécifiques pour assurer la cohérence et éliminer les entrées en conflit dans l’annuaire.
Configuration requise pour exécuter les services de domaine Active Directory
Quelles sont les configurations matérielle, logicielle ou de paramètres requises pour exécuter cette fonctionnalité ? Quelles sont les conditions préalables existantes pour exécuter le rôle ? Est-ce que ce rôle/cette fonctionnalité nécessite du matériel spécial ?
Condition requise |
Description |
|---|---|
TCP/IP |
Configurez les adresses de serveurs TCP/IP et DNS appropriées. |
NTFS |
Les lecteurs où sont stockés la base de données, les fichiers journaux et le dossier SYSVOL pour les services de domaine Active Directory (AD DS) doivent être placés sur un volume fixe local. SYSVOL doit être placé sur un volume au format de système de fichiers NTFS. Pour des raisons de sécurité, la base de données Active Directory et les fichiers journaux doivent être placés sur un volume également au format de système de fichiers NTFS. |
Informations d’identification |
Pour installer une nouvelle forêt AD DS, vous devez être administrateur local sur le serveur. Pour installer un autre contrôleur de domaine dans un domaine existant, vous devez être membre du groupe Administrateurs du domaine. |
Infrastructure DNS (Domain Name System) |
Vérifiez qu’une infrastructure DNS est en place. Au moment d’installer les services de domaine Active Directory, vous pouvez inclure l’installation du serveur DNS si cela est nécessaire. Lorsque vous créez un domaine, une délégation DNS est créée automatiquement au cours du processus d’installation. La création d’une délégation DNS nécessite des informations d’identification qui ont les autorisations de mettre à jour les zones DNS parentes. Pour plus d’informations, voir la page Options DNS de l’Assistant. |
Adprep |
Pour ajouter le premier contrôleur de domaine qui exécute Windows Server 2012 à un répertoire Active Directory existant, les commandes adprep.exe s’exécutent automatiquement selon les besoins. Ces commandes ont d’autres exigences en matière d’informations d’identification et de connectivité. Pour plus d’informations, voir Exécution d’Adprep.exe. |
Contrôleurs de domaine en lecture seule (RODC) |
Conditions supplémentaires pour installer les contrôleurs de domaine en lecture seule :
Pour plus d’informations, voir Conditions préalables au déploiement d’un contrôleur de domaine en lecture seule (RODC). |
Notes
À l’exception du serveur DNS, les contrôleurs de domaine ne doivent généralement pas héberger d’autres rôles de serveur.
Exécution des services de domaine Active Directory
Puis-je déployer et configurer ce rôle avec Windows PowerShell ?
Pour obtenir des instructions pas à pas sur l’installation et la configuration des services AD DS à l’aide du module ADDSDeployment de l’interface de ligne de commande de Windows PowerShell®, voir Guide de déploiement des services de domaine Active Directory (https://go.microsoft.com/fwlink/?LinkId=222597).
Comment déployer et configurer ce rôle dans un environnement multiserveur ?
Les services AD DS sont un service distribué conçu pour s’exécuter sur plusieurs contrôleurs de domaine. Pour obtenir des instructions pas à pas sur l’installation et la configuration des services AD DS sur plusieurs contrôleurs de domaine, voir Guide de déploiement des services de domaine Active Directory (https://go.microsoft.com/fwlink/?LinkId=222597).
Comment exécuter ce rôle sur les ordinateurs virtuels ?
Les services AD DS dans Windows Server 2012 incluent des dispositifs de protection lors de leur exécution sur des ordinateurs virtuels afin de garantir la sécurité et la cohérence des environnements AD DS virtualisés. Pour plus d’informations sur la façon d’exécuter les services AD DS sur des ordinateurs virtuels, voir Exécution de contrôleurs de domaine dans Hyper-V (https://go.microsoft.com/fwlink/?LinkID=213293).
Remarques sur la sécurité pour l’exécution de ce rôle
Après l’installation, les services AD DS sont conçus pour être sécurisés par défaut. Pour plus d’informations sur les paramètres de sécurité par défaut des contrôleurs de domaine, les risques et l’exploitation sécurisée des contrôleurs de domaine, voir le guide des meilleures pratiques pour sécuriser les installations Active Directory.
Remarques particulières sur la gestion de ce rôle à distance
Pour gérer les services AD DS à distance, installez les Outils d’administration de serveur distant. Il existe une version 32 bits et une version 64 bits des Outils d’administration de serveur distant. Pour plus d’informations, voir Outils d’administration de serveur distant (https://go.microsoft.com/fwlink/?LinkId=222628).
Remarques sur la gestion du rôle dans l’option d’installation minimale
Les services AD DS peuvent être installés sur une installation de serveur minimale ou un serveur doté d’une interface de serveur minimale et sont recommandés lorsque la réduction de l’encombrement de l’installation du système d’exploitation est avantageuse, comme pour un rôle de serveur dédié dans un centre de données, pour les invités de virtualisation ou les contrôleurs de domaine en lecture seule dans des bureaux distants. À compter de Windows Server 2012, un contrôleur de domaine qui s’exécute sur une installation de serveur minimale peut être converti en installation de serveur avec une interface graphique utilisateur (également appelée installation complète) et vice versa.
La mise à niveau à partir d’une installation de serveur minimale s’exécutant sur une version antérieure de Windows Server est prise en charge. Toutefois, il n’existe aucun moyen d’effectuer une mise à niveau directement à partir d’une installation minimale d’une version antérieure de Windows Server vers une installation de serveur avec interface graphique utilisateur ou inversement. Dans ce cas, vous devez effectuer la mise à niveau directement vers le même type d’installation sur Windows Server 2012, puis la convertir en une autre installation après la mise à niveau si nécessaire.
Pour plus d’informations, voir Options d’installation de Windows Server.
Services de rôle pour les services de domaine Active Directory
La gestion des identités pour UNIX est un service de rôle AD DS qui peut être installé uniquement sur des contrôleurs de domaine. Deux technologies de gestion des identités pour UNIX, Serveur pour NIS et Synchronisation de mot de passe, facilitent l’intégration des ordinateurs exécutant Windows® dans votre entreprise UNIX existante. Les administrateurs des services AD DS peuvent utiliser Serveur pour NIS afin de gérer les domaines NIS (Network Information Service). La synchronisation de mot de passe synchronise automatiquement les mots de passe entre les systèmes d’exploitation Windows et UNIX.
Technologies des services de rôle |
Description des services de rôle |
|---|---|
Serveur pour NIS |
Permet à un contrôleur de domaine Active Directory Microsoft Windows de gérer les réseaux NIS (Network Information Service) UNIX. Pour plus d’informations, voir Vue d’ensemble de Serveur pour NIS (https://go.microsoft.com/fwlink/?LinkId=222677). |
Synchronisation des mots de passe |
Facilite l’intégration des réseaux Windows et UNIX en simplifiant la gestion de mots de passe sécurisés dans les deux environnements. Pour plus d’informations, voir Vue d’ensemble de la synchronisation de mot de passe (https://go.microsoft.com/fwlink/?LinkId=222676). |