Planification pour un service d'annuaire global avec Active Directory

  • Article
Sur cette page

Planification pour un service d'annuaire global Planification pour un service d'annuaire global
Résumé
Introduction
Le besoin d'un service d'annuaire global
Planification pour un service d'annuaire global (2/2)

Planification pour un service d'annuaire global

Livre blanc

Haut de page

Résumé

Le point central de la stratégie de service d'annuaire de Microsoft est Microsoft Windows 2000 Server Active Directory. Active Directory est le premier service d'annuaire d'entreprise évolutif qui, construit à partir de technologies standard Internet, est totalement intégré au système d'exploitation. Fournissant des services d'annuaire d'ensemble aux applications Windows, Active Directory est en outre conçu pour devenir un trait d'union entre les différents annuaires que possèdent les entreprises, en permettant l'isolation, la migration, la gestion centralisée de ces annuaires, ainsi que la réduction de leur nombre. Active Directory représente alors la base idéale à long terme pour le partage des informations de l'entreprise et la gestion commune des ressources réseau, parmi lesquelles des applications, des systèmes d'exploitation réseau et des services liés à l'annuaire.

Haut de page

Introduction

De nos jours, dans la plupart des entreprises informatiques, les informations concernant les personnes, les applications et les ressources sont dispersées et ne cessent de proliférer. Pour élargir leurs fonctions, les systèmes d'exploitation et les applications (du courrier électronique aux systèmes ERP) disposent souvent de leurs propres lieux de stockage d'informations concernant les utilisateurs et les ressources. Comme le nombre d'applications et de plates-formes prises en charge par les entreprises augmente continuellement, le nombre de lieux de stockage augmente de la même manière. Cela oblige les entreprises à gérer des informations en de nombreux emplacements différents , même lorsque ceux-ci contiennent des informations apparentées ou dupliquées. Pour minimiser les coûts et augmenter leur aptitude à réagir aux changements, les entreprises ont besoin d'un service d'annuaire d'entreprise fournissant un emplacement commun pour le stockage, l'accès et la gestion de leurs informations, sans affecter les fonctions des applications et du système d'exploitation.

La durée de vie bien réelle d'investissements importants déjà accomplis sur des applications et des plates-formes fait que cet objectif ne peut être réalisé du jour au lendemain. Cependant, grâce à l'existence de normes d'annuaire adaptées à Internet et grâce à l'offre croissante que les revendeurs d'applications mettent à disposition des clients en réponse à leurs demandes en termes d'interopérabilité, il est possible pour les entreprises de réduire le nombre des annuaires dont elles ont besoin et de poser les bases requises pour évoluer vers une stratégie globale d'annuaire.

Le point central de la stratégie de service d'annuaire de Microsoft est Microsoft Windows 2000 Server Active Directory. Active Directory est le premier service d'annuaire d'entreprise évolutif qui, construit à partir de technologies standard Internet, est totalement intégré au système d'exploitation. Fournissant des services d'annuaire d'ensemble aux applications Windows, Active Directory est en outre conçu pour devenir un trait d'union entre les différents annuaires que possèdent les entreprises, en permettant l'isolation, la migration, la gestion centralisée de ces annuaires, ainsi que la réduction de leur nombre. Active Directory représente alors la base idéale à long terme pour le partage des informations de l'entreprise et la gestion commune des ressources réseau, parmi lesquelles des applications, des systèmes d'exploitation réseau et des services liés à l'annuaire.

Microsoft est conscient que les entreprises ont réalisé des investissements significatifs dans des applications et des systèmes d'exploitation existants (notamment Windows NT Server 4.0) et qu'il faudra un certain temps avant qu'elles puissent exploiter pleinement les avantages de Active Directory. Par conséquent, Microsoft a :

  • développé des interfaces ouvertes de services d'annuaire, que les développeurs peuvent utiliser dès aujourd'hui pour créer et déployer des applications pour Windows NT Server 4.0.

  • créé des outils permettant aux entreprises d'effectuer une mise à niveau de Windows NT Server 4.0 vers Active Directory, tout en conservant intactes les informations qui sont liées à l'annuaire.

  • fourni des fonctions de synchronisation dans Active Directory, qui permettent aux entreprises de commencer à utiliser immédiatement Active Directory comme base d'une gestion centralisée et d'une infrastructure réseau à connexion unique, au cours de la transition qu'elles effectuent à partir de leurs annuaires existants.

  • créé des méthodes de migration automatique vers Active Directory à partir d'autres annuaires.

Tant pour les entreprises qui utilisent déjà Windows NT Server 4.0 que pour celles qui envisagent d'utiliser Windows 2000 Server, Active Directory est le choix par excellence pour une stratégie globale d'annuaire.

Haut de page

Le besoin d'un service d'annuaire global

Pour simplifier, les services d'annuaire sont des emplacements de stockage d'informations sur des entités réseau, telles que des applications, des fichiers, des imprimantes et des personnes. Les services d'annuaire sont importants parce qu'ils fournissent une manière cohérente de nommer, de décrire et de retrouver les informations concernant ces ressources, mais aussi d'y accéder, de les gérer et de les sécuriser.

De nombreux fournisseurs intègrent dans leurs systèmes d'exploitation et leurs applications des emplacements de stockage ou des services d'annuaire spécialisés pour mettre à la disposition de leurs clients des fonctions spécifiques. Par exemple, les logiciels de messagerie incluent des services d'annuaire permettant aux utilisateurs de recevoir du courrier électronique et d'en envoyer à d'autres personnes, et les systèmes d'exploitation de serveurs utilisent des services d'annuaire pour des fonctions telles que la gestion des comptes d'utilisateur et le stockage d'informations de configuration pour des applications. Comme ces services d'annuaire répondent de manière ciblée aux besoins de l'application ou du système d'exploitation concerné et disposent rarement d'interfaces normalisées, la plupart des entreprises se retrouvent responsables de plusieurs annuaires distincts qui ne peuvent pas être gérés de manière centralisée ou qui sont difficilement compatibles les uns avec les autres.

L'utilisation de nombreux services d'annuaire incompatibles implique ce qui suit :

  • Les utilisateurs finaux doivent employer plusieurs comptes et mots de passe utilisateur pour se connecter aux différents systèmes. De plus, ils doivent savoir exactement où se trouvent, sur le réseau, les informations dont ils ont besoin.

  • Les administrateurs doivent savoir comment gérer chaque annuaire au sein du réseau et doivent répéter de nombreuses étapes lorsque des procédures, telles que l'ajout d'un nouvel employé dans une société, impliquent de nombreux annuaires différents.

  • Les développeurs d'applications doivent transcrire une logique différente pour chaque annuaire auquel leurs applications doivent accéder.

Il en résulte que la prolifération de services d'annuaire personnalisés se traduit directement par une escalade continuelle du coût de possession, sous la forme de frais de gestion, de perte de productivité pour l'utilisateur final et de complexité des applications. À court terme, les sociétés devront trouver le moyen de mettre un frein à cette tendance et de réduire le nombre total d'annuaires qu'ils possèdent, en prenant l'initiative d'effectuer une unification de leurs annuaires. À long terme, la meilleure solution consiste à adopter comme standard des technologies offrant les niveaux requis d'évolutivité, d'interopérabilité dans un contexte normalisé et d'intégration aux systèmes d'exploitation.

Planification pour un service d'annuaire global (2/2)

Spécifications pour un service d'annuaire global Spécifications pour un service d'annuaire global
Stratégie globale de Microsoft pour les services Active Directory
Conclusion

Spécifications pour un service d'annuaire global

Il existe un certain nombre de spécifications clés auxquelles doivent répondre les services d'annuaire globaux afin d'être efficaces dans des environnements d'entreprise complexes :

  • Connexion unique : les utilisateurs finaux souhaitent pouvoir se connecter qu'une seule fois, au moyen d'un nom d'utilisateur et mot de passe uniques, pour accéder à leur courrier électronique, à leurs applications, à leurs fichiers et à leurs ressources réseau telles que des imprimantes, et ce, quel que soit leur emplacement sur le réseau.

  • Gestion centralisée : les administrateurs souhaitent pouvoir gérer toutes les ressources de l'entreprise de manière centralisée. Ils ne veulent pas être obligés de répéter les mêmes étapes dans plusieurs annuaires pour accomplir des tâches de gestion courantes, telles que l'ajout ou la suppression de comptes d'utilisateur.

  • Flexibilité pour une adaptation aux changements : les responsables d'entreprise ont besoin d'un service d'annuaire qui permette à leurs sociétés de réagir rapidement à tout changement. Par exemple, les services d'annuaire devraient faciliter, plutôt que d'entraver, la réorganisation au sein d'une entreprise, et simplifier, au lieu de compliquer, la mise en place d'une fusion d'entreprises. En outre, les responsables ont besoin de services d'annuaire leur permettant d'utiliser Internet pour travailler avec des partenaires et pour gérer le commerce électronique dans un environnement d'entreprise dynamique.

  • Normalisation des interfaces : les développeurs d'application ont besoin de services d'annuaire fournissant un ensemble de fonctions complet et gérant les normes et les interfaces de programmation usuelles. De plus, le service d'annuaire doit être étroitement intégré au système d'exploitation de telle sorte que les développeurs n'aient pas besoin d'en reproduire certaines fonctionnalités, comme les infrastructures de sécurité, au sein de leurs applications.

Pour répondre à ces spécifications, les clients doivent pouvoir disposer à terme d'un service d'annuaire évolutif, puissant, flexible, et normalisé, qui permette aujourd'hui d'effectuer un travail d'unification, et qui fonctionne correctement comme service d'annuaire global, à l'avenir. En conséquence, la stratégie à long terme pour aboutir à un annuaire global sera basée sur des technologies :

  • créées à partir de normes Internet.

  • qui fournissent des interfaces publiées pour l'accès à l'annuaire, l'interopérabilité, la migration et la synchronisation avec d'autres annuaires de transition.

  • intégrées au niveau du système d'exploitation par souci de simplicité, d'amélioration des fonctionnalités et d'intégrité du système.

L'investissement dans un service d'annuaire remplissant ces spécifications est intelligent à long terme car il garantit aux entreprises l'acquisition d'un service d'annuaire unique à usage général et qui intégrera les multiples annuaires spécialisés qu'elles possèdent actuellement.

Haut de page

Stratégie globale de Microsoft pour les services Active Directory

Le point central de la stratégie de service d'annuaire de Microsoft est Windows 2000 Server Active Directory. Active Directory est le premier service d'annuaire d'entreprise évolutif qui, construit à partir de technologies standard Internet, est totalement intégré au système d'exploitation. Fournissant des services d'annuaire d'ensemble aux applications Windows, Active Directory est en outre conçu pour devenir un trait d'union entre les différents annuaires que possèdent les entreprises, en permettant l'isolation, la migration, la gestion centralisée de ces annuaires, ainsi que la réduction de leur nombre. Active Directory représente alors la base idéale à long terme pour le partage des informations de l'entreprise et la gestion commune des ressources réseau, parmi lesquelles des applications, des systèmes d'exploitation réseau et des services liés à l'annuaire.

Microsoft est conscient que le succès de Active Directory est fonction de nombreux facteurs. Pour Microsoft, certains de ces facteurs, tels que l'évolutivité et les performances, sont des spécifications techniques fondamentales dont la définition est aisée. D'autres facteurs, tels la protection des investissements existants, sont plus difficiles à définir dans l'absolu. Pour ces facteurs, Microsoft a identifié un ensemble de principes directeurs :

  • Les utilisateurs actuels et futurs de Windows NT 4.0 doivent disposer d'une vaste gamme d'options leur permettant une interopérabilité avec les annuaires et les applications existants. Ces options pourront être proposées par Microsoft et par des fournisseurs tiers.

  • La migration de Windows NT Server 4.0 vers Windows 2000 Server et Active Directory doit se faire de manière transparente sans entraîner de perte de données liées aux annuaires existants de l'environnement Windows NT 4.0.

  • Active Directory doit être étroitement intégré au niveau du système d'exploitation afin de garantir un fonctionnement transparent, une gestion simplifiée, une amélioration des fonctionnalités et l'intégrité du système.

  • Active Directory doit prendre en charge autant d'interfaces normalisées que possible afin de favoriser à plus long terme la fusion qui fera de lui le service d'annuaire global unique.

Les sections qui suivent décrivent ces principes plus en détail, ainsi que les résultats auxquels Microsoft est parvenu.

Microsoft fournit aux utilisateurs actuels de Windows NT Server 4.0 un certain nombre d'options et de fonctions (n'exigeant aucune modification des systèmes existants) qui facilitent les connexions uniques pour les utilisateurs et la gestion centralisée pour les administrateurs :

  • Intégration de NetWare et migration à partir de celui-ci : Microsoft fournit aux clients NetWare plusieurs outils conçus pour simplifier l'intégration de Windows NT Server dans leurs réseaux NetWare existants. Parmi ces outils, citons les Services pour NetWare, comprenant des outils pour la synchronisation transparente d'informations de Windows NT Server avec les systèmes NetWare 2.x, 3.x et 4.x (en mode bindery emulation). Ces services permettent également à tout client NetWare d'utiliser Windows NT Server pour le partage de fichiers et d'imprimantes sans devoir modifier de logiciel client. Windows NT Server est également livré avec un outil de migration permettant aux utilisateurs de faire migrer des informations de compte d'utilisateur et de groupe de NetWare vers les services d'annuaire de Windows NT.

  • Intégration Macintosh : Les services Windows NT pour Macintosh, également inclus avec Windows NT Server 4.0, permettent l'authentification d'annuaires compatibles AppleShare et le partage de fichiers et d'imprimantes utilisant le protocole AppleTalk.

  • Connexion unique pour les systèmes hôtes : SNA Server pour Windows NT permet de créer un environnement à connexion unique entre l'environnement Windows NT et celui d'un hôte, en fournissant une synchronisation avec les produits de sécurité RACF et ACF-2 basés sur le système hôte.

Microsoft est conscient que les produits d'interopérabilité de fournisseurs tiers sont essentiels au succès de Windows NT 4.0 et, à terme, à celui de Windows 2000 et de Active Directory. Afin de faciliter à ces fournisseurs tiers la création de solutions fonctionnant correctement avec Active Directory aujourd'hui et à l'avenir, Microsoft fournit plusieurs interfaces et protocoles publics :

  • Interfaces ADSI (Active Directory Service Interfaces) : ensemble d'interfaces de programmation de haut niveau de services d'annuaire, indépendantes de tout langage informatique. ADSI permet de travailler avec des ressources fournies par Windows NT Server 4.0, Novell NetWare 3.x et NetWare 4.x, notamment les services d'annuaire de Novell (NDS, Novell Directory Services). ADSI est également la principale API pour le développement de Windows 2000 Server Active Directory. ADSI offre aux développeurs une méthode simple et normalisée pour le développement d'applications capables d'accéder à des informations à partir de plusieurs annuaires et pour la mise en œuvre d'applications de synchronisation de données entre annuaires.

  • LDAP Version 3 (Light-Weight Directory Access Protocol) : protocole d'accès normalisé à un annuaire. LDAP permet aux applications serveur et du Bureau d'accéder de manière normalisée aux informations de différentes mises en œuvres d'annuaire. Microsoft fournit la prise en charge LDAP dans ses produits client (tels que le client de messagerie et de collaboration Microsoft Outlook™, le logiciel de conférence Microsoft NetMeeting™, Microsoft Internet Explorer) et dans ses produits serveur (tels que la version actuelle de Site Server, Exchange Server). LDAP sera également la méthode utilisée par Microsoft Exchange Server pour la migration et la synchronisation d'annuaire avec Windows 2000 Server. Windows 2000 Server offre également une prise en charge LDAP pour l'accès aux informations basées sur Active Directory.

  • SSPI (Security Service Provider Interface): ensemble d'interfaces de programmation de haut niveau, indépendantes de tout langage informatique, pour l'accès aux fonctions de sécurité de Windows NT. SSPI, basé sur la norme GSSAPI (General Security Service Application Programming Interface), permet aux développeurs de bénéficier des mesures de sécurité intégrées de Windows NT, notamment la connexion unique, l'authentification et la gestion des autorisations.

De plus, l'une des spécifications importantes à laquelle les fournisseurs tiers doivent souscrire pour participer au programme Microsoft BackOffice Logo Program est la prise en charge des fonctions de connexion unique de Windows NT 4.0. Actuellement, plus de 550 sociétés fournissent des produits compatibles (dont vous trouverez ci-dessous une liste non exhaustive).

À côté des fonctions disponibles dans les produits Microsoft, les fournisseurs tiers suivants utilisent les interfaces publiées décrites plus haut pour fournir des solutions d'interopérabilité supplémentaires permettant l'administration centralisée, la connexion unique et la configuration de domaine. Comme ces solutions n'exigent aucune modification des systèmes existants, elles facilitent la migration vers Active Directory à l'avenir.

Administration centralisée

DirectScript, de Entevo : produit de gestion d'annuaire d'entreprise qui simplifie l'administration et réduit le coût total de possession en simplifiant les tâches d'administration courantes. Ainsi, par exemple, DirectScript :

  • offre la simplicité du système de développement de Visual Basic, de VBScript (Visual Basic Scripting Edition) ou du logiciel de développement JScript™, pour accomplir des tâches d'administration courantes, telles que le déplacement de ressources entre des domaines, la gestion de la sécurité sur les serveurs d'impression/de fichiers, ou l'énumération des ressources à l'intérieur d'un réseau distribué.

  • utilise ADSI, ce qui permet la gestion d'utilisateurs, de groupes, de répertoires/fichiers, de la sécurité, du Registre et d'objets ordinateur et imprimante dans l'environnement d'un domaine Windows NT.

  • est livré avec plus d'une dizaine d'exemples et de scripts personnalisables (Visual Basic, pages Active Server et J/Script). Ces scripts de gestion peuvent être utilisés partout dans l'entreprise au moyen d'un navigateur. Ce cadre permet également le mappage d'objets disparates provenant de différents espaces de noms, tel que l'environnement NDS de Novell.

SecureFile, de Entevo : outil de sécurité pour Internet et le bureau, conçu pour offrir des fonctions de sécurité de fichiers dans les secteurs de l'informatique personnelle et d'entreprise. Par exemple, SecureFile fournit aux utilisateurs des services pour garantir la confidentialité des fichiers (cryptage/décryptage), leur intégrité (hachage) et leur authentification (signature/vérification au moyen de signatures numériques), avec une interface intégrée de type pointer-cliquer.

DirectAdmin, de Entevo : une prochaine version de DirectAdmin prendra en charge plusieurs applications et systèmes d'exploitation réseau (NDS, Vines, Exchange) ainsi que les opérations effectuées entre systèmes d'exploitation réseau pour la gestion centralisée de tels annuaires à partir de Windows NT Server.

Enterprise Administration,de Mission Critical : environnement d'administration à base de règles pour réseaux Windows NT de grande envergure, offrant une administration extensible par le biais d'une gestion des ressources et des comptes, de rapports complets et de capacités d'automatisation évoluées, notamment pour la consolidation de domaines.

Virtual Administrator, de FastLane Technologies : outil permettant aux administrateurs de segmenter et de déléguer des droits d'administration au sein de n'importe quelle architecture de domaine Windows NT, et d'utiliser des outils d'administration standard Windows NT pour uniformiser ou reconfigurer des domaines.

Solutions de connexion unique

Enterprise Resource Manager, de Axent : produit permettant aux utilisateurs de se connecter au réseau et d'obtenir automatiquement un accès sécurisé à des plates-formes hétérogènes, sans avoir besoin de se connecter plusieurs fois. Par exemple, Enterprise Resource Manager :

  • fournit un contrôle supplémentaire sur les comptes d'utilisateur, les droits d'accès aux systèmes et les mots de passe.

  • permet aux gestionnaires de systèmes de partitionner les activités d'administration de manière efficace et sécurisée.

Outils de migration et de reconfiguration de domaines

Flyte, outil de gestion de migration de VINES vers Windows NT : outil simplifiant le travail de migration de VINES vers Windows NT Server. Incorporant des attributs StreetTalk et des outils de nettoyage, Flyte permet une transition rapide et sans heurts vers Windows NT, avec le minimum d'impact sur les utilisateurs.

Phoenix, outil de reconfiguration de domaine pour Windows NT : outil simplifiant la reconfiguration et l'uniformisation d'un domaine. Les transitions peuvent être traitées étape par étape ou automatiquement, avec protection de la sécurité.

Active Directory est un composant fondamental de la plate-forme du système d'exploitation Windows 2000 Server. Active Directory résout d'importantes préoccupations à long terme des clients car :

  • il est conçu d'emblée à partir des normes Internet assurant l'interopérabilité.

  • il fournit des interfaces publiées pour l'interopérabilité entre annuaires, la migration et la synchronisation avec d'autres services d'annuaire.

  • il permet une étroite intégration des services d'annuaire avec les services du système d'exploitation pour renforcer l'intégrité du système, sa simplicité, l'amélioration de ses fonctionnalités et son extensibilité.

De prime abord, les avantages découlant de l'intégration étroite de services d'annuaire et d'un système d'exploitation ne sont pas forcément évidentes. Pourtant, Microsoft est à même d'offrir des avantages significatifs aux entreprises et à leurs utilisateurs en intégrant étroitement Active Directory à Windows 2000 Server.

  • Amélioration de l'intégrité du système : en livrant Active Directory comme partie intégrante de Windows 2000 Server, Microsoft garantit que toute la plate-forme du système d'exploitation a été optimisée et que ses performances, sa sécurité et sa fiabilité ont été testées. Comme les produits Windows Server sont de plus en plus utilisés dans des rôles cruciaux, il est important de disposer directement auprès de Microsoft d'une vaste gamme de fonctionnalités.

  • Gestion centralisée : Active Directory est l'emplacement où Windows 2000 Server stocke toutes les informations concernant la configuration du système, les profils d'utilisateurs et les applications. En associant Active Directory aux fonctions de gestion de stratégie de Windows 2000 Server, les administrateurs peuvent gérer à partir d'un emplacement centralisé des bureaux distribués, des services réseau et des applications utilisant l'annuaire, au moyen d'une interface de gestion cohérente. Les administrateurs réseau disposent aussi d'une méthode cohérente de suivi et de gestion de périphériques réseau tels que les routeurs, grâce aux profils système fournis par Active Directory.

  • Environnements d'utilisateur personnalisés : Les fonctions dans Windows 2000 Server et Windows 2000 Professionnel utilisent les informations contenues dans Active Directory pour déterminer où les utilisateurs stockent leurs documents, où leurs paramètres personnels sont sauvegardés et pour connaître la configuration générale de leur environnement. Les informations de configuration sont spécifiées sous la forme d'une stratégie d'administration qui est appliquée lorsqu'un utilisateur particulier se connecte à partir d'une machine spécifique. De telles stratégies déterminent comment s'effectue le traitement des éléments d'environnement, par exemple pour le déploiement d'applications à la demande, les scripts de connexion/déconnexion ou les paramètres de sécurité.

  • Configuration simplifiée des services : les administrateurs bénéficient des fonctions d'installation et de configuration qui sont intégrées dans Windows 2000 Server et qui sont basées sur Active Directory. Ces fonctions incluent des services réseau, les services d'applications et des services Internet/intranet.

  • Meilleure allocation de la bande passante : l'intégration des services réseau de Windows 2000 Server avec Active Directory permet aux entreprises d'améliorer la rentabilité d'utilisation de leur réseau en permettant une allocation plus efficace des ressources de celui-ci entre les personnes et les applications. Des services réseau de Windows 2000 Server, tels que RSVP (Reservation Services Virtual Protocol)1 et QoS (Quality of Service)2 utilisent les informations de profil d'utilisateur dans Active Directory pour définir la bande passante, le chemin et le type de services devant être affectés à divers utilisateurs.

  • **Intégration du service de sécurité ** : l'intégration de protocoles d'authentification normalisés (par exemple, MIT Kerberos et X.509) au sein de Active Directory permet aux utilisateurs de disposer de fonctions de connexion unique couvrant divers réseaux et applications. Les administrateurs peuvent gérer plus simplement un seul jeu de comptes d'utilisateur qui prennent en charge différents types d'informations d'identification de sécurité, notamment les certificats numériques Kerberos ou à clé publique. Les administrateurs peuvent également gérer en toute sécurité l'intégration de chaînes de valeur et de scénarios extranet impliquant d'autres partenaires, grâce à l'utilisation de certificats numériques et au mappage de certificats sur des comptes Windows. Les développeurs d'applications peuvent utiliser les services de sécurité fournis par Active Directory et par le système Windows 2000 Server pour réduire la complexité et le coût de développement de leurs applications.

  • Applications utilisant l'annuaire : les applications écrites pour utiliser les services de Active Directory offrent plusieurs avantages importants. Par exemple, elles peuvent retrouver de manière dynamique des fournisseurs de services dans l'annuaire, permettant ainsi aux administrateurs de reconfigurer des ressources (par exemple, en spécifiant sur quelles machines les applications doivent s'exécuter) lorsque les besoins de l'entreprise changent. De plus, ces applications peuvent utiliser l'annuaire pour rechercher automatiquement d'autres fournisseurs de services lorsque les fournisseurs habituels font défaut ; ce qui entraîne une meilleure résistance et une meilleure disponibilité des applications pour les utilisateurs finaux. Active Directory contribue également à la réduction du temps de développement en simplifiant pour les applications la recherche de services déjà fournis par d'autres applications (et qui sont publiés dans l'annuaire).

  • Configuration simplifiée des applications : les applications peuvent utiliser les services de Active Directory et du système d'exploitation Windows 2000 Server pour stocker de manière centralisée leur configuration et les informations relatives à leur installation. Si un utilisateur supprime accidentellement un fichier de configuration dans une application, Active Directory peut fournir à celle-ci des informations d'installation pré-configurées qui en simplifient la réinstallation.

Sans un tel niveau d'intégration entre Windows 2000 Server et Active Directory, un grand nombre de ces avantages uniques ne seraient pas disponibles.

Comme Active Directory est basé sur des technologies Internet standard, les clients bénéficient du meilleur en termes de technologies éprouvées comme DNS, TCP/IP, LDAP, X.509 et Kerberos, qui sont déjà mises en œuvre un peu partout dans le monde au sein des entreprises et sur Internet. En prenant en charge ces interfaces et protocoles de services d'annuaire utilisés par toute l'industrie informatique, Microsoft fait bénéficier les utilisateurs d'avantages tels que la connexion unique, la gestion centralisée et l'interopérabilité entre réseaux.

Active Directory gère les principales normes suivantes :

Normes de Windows 2000 Server
 RFC
 Objet
DHCP
 2131
 gestion des adresses réseau
DNS dynamique
 2052, 2136
 gestion de l'espace de noms de l'hôte
SNTP (Simple Network Time Protocol)
 1769
 service DTS (Distributed Time Service)
LDAP v3
 2251
 accès à l'annuaire
LDAP 'C'
 1777
 API d'annuaire
LDIF (format d'informations d'annuaire)
 à l'étude
 synchronisation d'annuaires
Kerberos MIT v5
clé publique x.509 v3
 1510
ISO
 authentification
LDAP
 2247, 2252, 2256
 schéma d'annuaire
TCP/IP
 793
791
 transport réseau

Les avantages découlant de la prise en charge de ces normes Internet sont notamment les suivants :

  • La norme DNS Dynamique permet aux grandes entreprises de réaliser une structure globale de noms compatible avec les conventions DNS (Domain Naming Standard) standard d'Internet.

  • LDAP optimise l'interopérabilité entre applications et services d'annuaire et facilite l'interopérabilité des annuaires grâce à la synchronisation.

  • l'intégration de la sécurité Kerberos et à clé publique X.509 au sein de Active Directory donne aux grandes entreprises la flexibilité requise pour combiner et moduler les mesures de sécurité qu'elles déploient, aussi bien dans des environnements Internet que intranet, en fonction de leurs besoins.

L'utilisation de normes permet de faire bénéficier les clients d'une totale interopérabilité sans devoir changer les logiciels présents sur leurs serveurs ou bureaux existants. Cependant, les normes ne suffisent pas à elles seules. Les fournisseurs doivent proposer des solutions complètes intégrant des normes complémentaires. Par exemple, Active Directory intègre l'utilisation de noms Internet complets (RFC822) pour l'identification des utilisateurs dans l'annuaire (LDAP), des principaux dans les protocoles de sécurité (Kerberos), des certificats (X.509), ainsi que dans le système d'exploitation, afin de simplifier considérablement l'environnement pour les utilisateurs finaux, les applications réparties et les administrateurs d'entreprise. Il en résulte que le client peut intégrer Windows 2000 Server dans un environnement existant avec un minimum d'efforts.

Comme mentionné précédemment, la transition vers un annuaire global ne se fera pas rapidement pour la plupart des entreprises, pour la simple raison que trop d'informations liées aux annuaires sont réparties dans un trop grand nombre d'endroits différents. Cependant, une prolifération continuelle d'informations d'annuaire est si coûteuse à long terme que les entreprises ont besoin d'une stratégie pour la ralentir (et éventuellement l'arrêter) et pour converger vers une unification des annuaires. C'est à cette fin que Microsoft a conçu Active Directory, pour faciliter et encourager la transition vers une stratégie d'annuaire global, au moyen de :

  • la prise en charge de l'interopérabilité avec les applications existantes, par le biais de protocoles tels que LDAP et d'interfaces comme ADSI.

  • la fourniture d'outils simplifiant la migration vers Active Directory.

  • l'ajout de la prise en charge de la synchronisation des données entre Active Directory et d'autres annuaires.

Les fonctions de synchronisation d'annuaires sont importantes car elles permettent aux entreprises de se concentrer sur l'utilisation de Active Directory comme élément central pour le stockage et la gestion des informations. Ensuite, ces fonctions propagent automatiquement des sous-ensembles d'informations dans les autres annuaires. La synchronisation est une condition sans laquelle il est impossible de tirer parti d'avantages tels qu'une gestion centralisée et une connexion unique, lorsqu'une entreprise est en phase de transition et doit assurer la gestion de plusieurs annuaires.

Les fonctionnalités de synchronisation se présentent sous de multiples formes. Dans une perspective de normalisation, Microsoft travaille avec d'autres fournisseurs afin de s'assurer que les futures versions de la spécification LDAP incluent la prise en charge des fonctions de synchronisation. Dès que la synchronisation LDAP sera disponible, Microsoft fera en sorte de la prendre en charge rapidement. À plus court terme, Microsoft livre avec Active Directory un service de synchronisation unidirectionnel sous la forme de connecteurs de synchronisation. Les connecteurs de synchronisation de Active Directory répercutent les modifications intervenant dans Active Directory dans d'autres annuaires, tels que NDS (NetWare Directory Service), Netscape Enterprise Directory, Lotus Notes, entre autres. Microsoft mettra à disposition un connecteur de synchronisation NDS avec Windows 2000 Server. Microsoft s'attend également à ce que des fournisseurs tiers offrent des connecteurs de synchronisation, au moyen d'interfaces telles que ADSI, pour la prise en charge de plusieurs autres annuaires au moment de la sortie de Windows 2000 Server.

Dans le domaine de la migration, Microsoft travaille avec Computer Associates à la création d'un outil de migration appelé "DS Migrate for Windows". DS Migrate permettra aux entreprises de faire migrer leurs applications à base de serveurs NetWare 3.x et 4.x vers Active Directory de manière automatique. Au moyen de ADSI, DS Migrate copiera les informations de NetWare Bindery et de NDS dans un moteur de migration où elles seront stockées. Elles seront ensuite mappées automatiquement dans Active Directory. L'un des avantages de cette architecture est que DS Migrate peut fonctionner en ligne ou hors connexion. Les entreprises peuvent exécuter en ligne une mise à niveau sur place des informations de leur annuaire ou accomplir leur migration hors connexion en plusieurs étapes.

Haut de page

Conclusion

L'idée d'un service d'annuaire global unique n'est pas nouvelle. La plupart des entreprises ont utilisé un produit de service d'annuaire sous une forme ou une autre et ont tenté de parvenir à un certain niveau d'intégration et de normalisation de leur annuaire. Cependant, très peu d'entreprises prétendent être parvenues au niveau qu'elles souhaitaient atteindre. Certains produits et technologies qui excellent dans un domaine et échouent dans un autre, ou qui imposent une conversion totale sans option permettant de préserver les investissements existants, ont bloqué la progression.

Conscient de cette difficulté, Microsoft fournit une technologie puissante et adaptée aux entreprises sous la forme de Active Directory, ainsi qu'une stratégie permettant aux entreprises d'entreprendre de manière progressive et pragmatique leur migration vers un annuaire global. Microsoft s'assure également que les entreprises qui ont investi (ou qui vont investir) dans Windows NT Server 4.0 ne rencontreront aucune difficulté à utiliser Active Directory lorsqu'elles choisiront de passer à Windows 2000 Server.

En outre, une intégration étroite de Active Directory avec le système d'exploitation Windows 2000 Server offre une simplicité et une intégrité du système plus importante, ainsi que de nouvelles fonctionnalités puissantes. De toute évidence, Active Directory de Windows 2000 Server constitue une plate-forme normalisée pour la création de la prochaine génération d'applications distribuées.

Les informations contenues dans ce document représentent l'opinion actuelle de Microsoft sur les points cités à la date de publication. Microsoft s'adapte aux conditions fluctuantes du marché et cette opinion ne doit pas être interprétée comme un engagement de la part de Microsoft ; de plus, Microsoft ne peut pas garantir la véracité de toute information présentée après la date de publication.

Ce livre blanc est fourni à des fins d'informations seulement. MICROSOFT N'OFFRE AUCUNE GARANTIE, EXPRESSE OU IMPLICITE, DANS CE DOCUMENT.

Microsoft, Active Desktop, BackOffice, le logo BackOffice, MSN, Windows et Windows NT sont soit des marques déposées de Microsoft Corporation, soit des marques de Microsoft Corporation aux États-Unis d'Amérique et/ou dans d'autres pays.

Les autres noms de produits ou de sociétés mentionnés dans ce document sont des marques de leurs propriétaires respectifs.

Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • États-Unis

0399

1 RSVP garantit la disponibilité de services réseau le long d'un parcours spécifique

2 QoS garantit la bande passante requise pour les services réseau