Exporter (0) Imprimer
Développer tout

Vue d’ensemble des services de domaine Active Directory

Publication: février 2012

Mis à jour: novembre 2012

S'applique à: Windows Server 2012

En utilisant le rôle serveur des services de domaine Active Directory® (AD DS), vous pouvez créer une infrastructure évolutive, sécurisée et gérable pour la gestion des utilisateurs et des ressources, et offrir une prise en charge des applications d’annuaire, telles que Microsoft® Exchange Server.

Le reste de cette rubrique décrit une vue d’ensemble du rôle serveur AD DS. Pour plus d’informations sur les nouvelles fonctionnalités des services de domaine Active Directory dans Windows Server 2012, voir Nouveautés des services de domaine Active Directory (AD DS).

Les services AD DS fournissent une base de données distribuée qui stocke et gère des informations sur les ressources réseau et les données spécifiques à des applications provenant d’applications utilisant un annuaire. Un serveur qui exécute les services AD DS est appelé contrôleur de domaine. Les administrateurs peuvent utiliser AD DS pour organiser les éléments d’un réseau, tels que les utilisateurs, les ordinateurs et les autres périphériques, en une structure hiérarchique de type contenant-contenu. La structure hiérarchique de type contenant-contenu inclut la forêt Active Directory, les domaines inclus dans la forêt et les unités d’organisation de chaque domaine.

L’organisation des éléments d’un réseau en une structure hiérarchique de type contenant-contenu offre les avantages suivants :

  • La forêt fait office de limite de sécurité pour une organisation et définit l’étendue de l’autorité des administrateurs. Par défaut, une forêt contient un domaine unique, appelé également domaine racine de la forêt.

  • D’autres domaines peuvent être créés dans la forêt pour assurer le partitionnement des données AD DS, ce qui permet aux organisations de répliquer des données uniquement là où cela est nécessaire. Il est ainsi possible d’adapter de manière globale les services AD DS sur un réseau disposant d’une bande passante limitée. Un domaine Active Directory prend en charge également plusieurs autres fonctions principales liées à l’administration, dont l’identité des utilisateurs, l’authentification et les relations d’approbation à l’échelle du réseau.

  • Les unités d’organisation simplifient la délégation de l’autorité pour faciliter la gestion d’un grand nombre d’objets. Par le biais de la délégation, des propriétaires peuvent transférer une autorité complète ou limitée sur des objets à d’autres utilisateurs ou groupes. La délégation est importante car elle aide à distribuer la gestion d’un grand nombre d’objets à plusieurs personnes chargées d’effectuer des tâches de gestion.

La sécurité est intégrée aux services AD DS par l’authentification de connexion et le contrôle d’accès aux ressources de l’annuaire. À l’aide d’une ouverture de session réseau unique, les administrateurs peuvent gérer les données et l’organisation de l’annuaire par le biais de leur réseau. Les utilisateurs réseau autorisés peuvent également utiliser une ouverture de session réseau unique pour accéder à des ressources à tout emplacement sur le réseau. L’administration basée sur des stratégies facilite même la gestion des réseaux les plus complexes.

Les autres fonctionnalités AD DS sont notamment les suivantes :

  • Un ensemble de règles, le schéma, qui définit les classes d’objets et les attributs contenus dans l’annuaire, les contraintes et les limites qui s’appliquent aux instances de ces objets, ainsi que le format de leurs noms.

  • Un catalogue global qui contient des informations sur chaque objet de l’annuaire. Les utilisateurs et les administrateurs peuvent utiliser le catalogue global pour rechercher des informations dans l’annuaire, quel que soit le domaine de l’annuaire qui contient les données.

  • Un mécanisme de requête et d’index, de sorte que les objets et leurs propriétés puissent être publiés et recherchés par les utilisateurs du réseau ou des applications.

  • Un service de réplication qui distribue les données d’annuaire sur l’ensemble du réseau. Tous les contrôleurs de domaine accessibles en écriture dans un domaine participent à la réplication et contiennent une copie complète de toutes les informations d’annuaire liées à leur domaine. Toute modification des données d’annuaire est répliquée sur tous les contrôleurs de domaine inclus dans le domaine.

  • Les rôles de maître d’opérations (également appelés opérations à maître unique flottant ou FSMO). Les contrôleurs de domaine qui détiennent des rôles de maître d’opérations sont désignés pour effectuer des tâches spécifiques pour assurer la cohérence et éliminer les entrées en conflit dans l’annuaire.

Quelles sont les configurations matérielle, logicielle ou de paramètres requises pour exécuter cette fonctionnalité ? Quelles sont les conditions préalables existantes pour exécuter le rôle ? Est-ce que ce rôle/cette fonctionnalité nécessite du matériel spécial ?

 

Configuration requise Description

TCP/IP

Configurez les adresses de serveurs TCP/IP et DNS appropriées.

NTFS

Les lecteurs où sont stockés la base de données, les fichiers journaux et le dossier SYSVOL pour les services de domaine Active Directory (AD DS) doivent être placés sur un volume fixe local. SYSVOL doit être placé sur un volume au format de système de fichiers NTFS. Pour des raisons de sécurité, la base de données Active Directory et les fichiers journaux doivent être placés sur un volume également au format de système de fichiers NTFS.

Informations d’identification

Pour installer une nouvelle forêt AD DS, vous devez être administrateur local sur le serveur. Pour installer un autre contrôleur de domaine dans un domaine existant, vous devez être membre du groupe Administrateurs du domaine.

Infrastructure DNS (Domain Name System)

Vérifiez qu’une infrastructure DNS est en place. Au moment d’installer les services de domaine Active Directory, vous pouvez inclure l’installation du serveur DNS si cela est nécessaire.

Lorsque vous créez un domaine, une délégation DNS est créée automatiquement au cours du processus d’installation. La création d’une délégation DNS nécessite des informations d’identification qui ont les autorisations de mettre à jour les zones DNS parentes.

Pour plus d’informations, voir la page Options DNS de l’Assistant.

Adprep

Pour ajouter le premier contrôleur de domaine qui exécute Windows Server 2012 à un répertoire Active Directory existant, les commandes adprep.exe s’exécutent automatiquement selon les besoins. Ces commandes ont d’autres exigences en matière d’informations d’identification et de connectivité.

Pour plus d’informations, voir Exécution d’Adprep.exe.

Contrôleurs de domaine en lecture seule (RODC)

Conditions supplémentaires pour installer les contrôleurs de domaine en lecture seule :

  • Le niveau fonctionnel de la forêt doit être au moins Windows Server 2003

  • Au moins un contrôleur de domaine accessible en écriture qui exécute Windows Server 2008 ou version ultérieure doit être installé dans le même domaine.

Pour plus d’informations, voir Conditions préalables au déploiement d’un contrôleur de domaine en lecture seule (RODC).

noteRemarque
À l’exception du serveur DNS, les contrôleurs de domaine ne doivent généralement pas héberger d’autres rôles de serveur.

Pour obtenir des instructions pas à pas sur l’installation et la configuration des services AD DS à l’aide du module ADDSDeployment de l’interface de ligne de commande de Windows PowerShell®, voir Guide de déploiement des services de domaine Active Directory (http://go.microsoft.com/fwlink/?LinkId=222597).

Les services AD DS sont un service distribué conçu pour s’exécuter sur plusieurs contrôleurs de domaine. Pour obtenir des instructions pas à pas sur l’installation et la configuration des services AD DS sur plusieurs contrôleurs de domaine, voir Guide de déploiement des services de domaine Active Directory (http://go.microsoft.com/fwlink/?LinkId=222597).

Les services AD DS dans Windows Server 2012 incluent des dispositifs de protection lors de leur exécution sur des ordinateurs virtuels afin de garantir la sécurité et la cohérence des environnements AD DS virtualisés. Pour plus d’informations sur la façon d’exécuter les services AD DS sur des ordinateurs virtuels, voir Exécution de contrôleurs de domaine dans Hyper-V (http://go.microsoft.com/fwlink/?LinkID=213293).

Après l’installation, les services AD DS sont conçus pour être sécurisés par défaut. Pour plus d’informations sur les paramètres de sécurité par défaut des contrôleurs de domaine, les risques et l’exploitation sécurisée des contrôleurs de domaine, voir le guide des meilleures pratiques pour sécuriser les installations Active Directory.

Pour gérer les services AD DS à distance, installez les Outils d’administration de serveur distant. Il existe une version 32 bits et une version 64 bits des Outils d’administration de serveur distant. Pour plus d’informations, voir Outils d’administration de serveur distant (http://go.microsoft.com/fwlink/?LinkId=222628).

Les services AD DS peuvent être installés dans le cadre d’une installation minimale et sont recommandés dans de tels environnements comme contrôleurs de domaine en lecture seule pour les filiales. Il n’est pas possible de procéder à une mise à niveau d’une version précédente du système d’exploitation Windows Server vers une installation minimale. Il n’est pas non plus possible de procéder à une mise à niveau d’une installation complète vers une installation minimale ou d’une installation minimale vers une installation complète. Seule une nouvelle installation est prise en charge. Pour plus d’informations, voir Options d’installation de Windows Server (http://go.microsoft.com/fwlink/?LinkId=222675).

La gestion des identités pour UNIX est un service de rôle AD DS qui peut être installé uniquement sur des contrôleurs de domaine. Deux technologies de gestion des identités pour UNIX, Serveur pour NIS et Synchronisation de mot de passe, facilitent l’intégration des ordinateurs exécutant Windows® dans votre entreprise UNIX existante. Les administrateurs des services AD DS peuvent utiliser Serveur pour NIS afin de gérer les domaines NIS (Network Information Service). La synchronisation de mot de passe synchronise automatiquement les mots de passe entre les systèmes d’exploitation Windows et UNIX.

 

Technologies des services de rôle Description des services de rôle

Serveur pour NIS

Permet à un contrôleur de domaine Active Directory Microsoft Windows de gérer les réseaux NIS (Network Information Service) UNIX. Pour plus d’informations, voir Vue d’ensemble de Serveur pour NIS (http://go.microsoft.com/fwlink/?LinkId=222677).

Synchronisation de mot de passe

Facilite l’intégration des réseaux Windows et UNIX en simplifiant la gestion de mots de passe sécurisés dans les deux environnements. Pour plus d’informations, voir Vue d’ensemble de la synchronisation de mot de passe (http://go.microsoft.com/fwlink/?LinkId=222676).

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft