Présentation technique du service Active Directory dans Windows Server 2003

  • Article
Sur cette page

Présentation technique de Active Directory Présentation technique de Active Directory
Synthèse Synthèse
Introduction Introduction
Principes de base de Active Directory Principes de base de Active Directory
Banque de données de l’annuaire Banque de données de l’annuaire
Active Directory et sécurité Active Directory et sécurité
Schéma Active Directory Schéma Active Directory
Classes Classes
Extension du schéma Extension du schéma
Attributs Attributs
Attributs à valeurs multiples Attributs à valeurs multiples
Indexation des attributs Indexation des attributs
Rôle du catalogue global Rôle du catalogue global
Recherche d’informations dans l’annuaire Recherche d’informations dans l’annuaire
Efficacité des outils de recherche Efficacité des outils de recherche
Réplication de Active Directory Réplication de Active Directory
Rôle des sites dans la réplication Rôle des sites dans la réplication
Clients Active Directory Clients Active Directory
Nouvelles fonctions et améliorations de Active Directory Nouvelles fonctions et améliorations de Active Directory
Intégration et productivité de Active Directory Intégration et productivité de Active Directory
Simplification de l’utilisation et de la gestion de Active Directory Simplification de l’utilisation et de la gestion de Active Directory
Autres fonctions et améliorations en matière d’intégration et de productivité Autres fonctions et améliorations en matière d’intégration et de productivité
Performances et évolutivité de Active Directory Performances et évolutivité de Active Directory
Amélioration des performances pour les filiales Amélioration des performances pour les filiales
Autres fonctions et améliorations en matière de performances Autres fonctions et améliorations en matière de performances
Administration et gestion de la configuration de Active Directory Administration et gestion de la configuration de Active Directory
Configuration de Active Directory avec les nouveaux Assistants d’installation Configuration de Active Directory avec les nouveaux Assistants d’installation
Autres fonctions et améliorations en matière d’administration Autres fonctions et améliorations en matière d’administration
Fonctions de stratégie de groupe de Active Directory Fonctions de stratégie de groupe de Active Directory
Gestion de la stratégie de groupe Gestion de la stratégie de groupe
Rôle de la console GPMC Rôle de la console GPMC
Gestion de domaines Windows 2000 et Windows Server 2003 Gestion de domaines Windows 2000 et Windows Server 2003
Autres fonctions et améliorations liées à la stratégie de groupe Autres fonctions et améliorations liées à la stratégie de groupe
Améliorations de la sécurité de Active Directory Améliorations de la sécurité de Active Directory
Gestion de la sécurité avec des approbations de forêt       Gestion de la sécurité avec des approbations de forêt      
Approbation de forêt Approbation de forêt
Gestion des approbations Gestion des approbations
Espaces de noms approuvés Espaces de noms approuvés
Autres fonctions et améliorations en matière de sécurité Autres fonctions et améliorations en matière de sécurité
Résumé Résumé

Présentation technique de Active Directory

Microsoft Corporation

Synthèse

En se fondant sur les acquis du système d’exploitation Microsoft® Windows® 2000, le service Active Directory® de la famille Windows Server 2003 apporte de nouvelles fonctions essentielles qui en font l’une des structures d’annuaire les plus souples actuellement disponible sur le marché. À une époque où les applications d’annuaire revêtent une importance de plus en plus grande, les entreprises peuvent utiliser Active Directory pour gérer les environnements réseau les plus complexes en entreprise. De plus, la famille Windows Server 2003 comprend bon nombre de fonctions qui en font la plate-forme idéale pour le développement et le déploiement d’applications d’annuaire. Cet article constitue une introduction aux concepts de base de Active Directory et récapitule les nouvelles fonctions et améliorations du produit.

Introduction

Le service Microsoft® Active Directory® est un composant central de la plate-forme Windows®. Il permet de gérer les identités et les relations qui forment les environnements réseau.

Développant les caractéristiques du système d’exploitation Windows 2000, la famille Windows Server 2003 améliore d’une part la gérabilité de Active Directory et facilite d’autre part les procédures de migration et de déploiement. Les développeurs d’applications et les éditeurs de logiciels, en particulier, découvriront que la meilleure méthode pour développer des applications d’annuaire consiste à utiliser le service Active Directory de Windows Server 2003.

Les améliorations apportées à Active Directory permettent de réduire le coût total de possession et les frais d’exploitation au sein de l’entreprise. Tous les niveaux du produit comprennent à présent de nouvelles fonctions et améliorations qui développent sa polyvalence, simplifient la gestion et augmentent sa fiabilité. Windows Server 2003 permet aux entreprises de réaliser encore plus d’économies tout en rendant plus efficaces la gestion et le partage des divers éléments de l’entreprise.

Cet article s’adresse aux administrateurs informatiques, aux architectes de systèmes en réseau et à toute personne souhaitant comprendre les nouvelles fonctions et les principales améliorations apportées au service Active Directory de Windows Server 2003. Il commence par présenter les concepts de base de Active Directory, puis traite de ses nouvelles fonctions et améliorations dans la famille Windows Server 2003 en matière :

  • d’intégration et de productivité ;

  • de performances et d’évolutivité ;

  • d’administration et de gestion de la configuration ;

  • des fonctions de la stratégie de groupe ;

  • de sécurité.

Principes de base de Active Directory

Active Directory est le service d’annuaire de Windows Standard Server, Windows Enterprise Server et Windows Datacenter Server (il ne s’exécute pas sur Windows Web Server, mais peut en revanche administrer les ordinateurs Windows Web Server). Active Directory stocke des informations sur les objets placés sur le réseau et facilite la recherche et l’utilisation de ces données pour les administrateurs et les utilisateurs. Active Directory fait appel à une banque de données structurée pour organiser les informations de l’annuaire de manière logique et hiérarchique.

Banque de données de l’annuaire

Cette banque de données est souvent plus simplement appelée "l’annuaire". L’annuaire contient des informations sur les objets, tels que les utilisateurs, les groupes, les ordinateurs, les domaines, les unités organisationnelles et les stratégies de sécurité. Ces informations peuvent être publiées pour permettre aux utilisateurs et aux administrateurs de les utiliser.

L’annuaire est stocké sur des serveurs appelés "contrôleurs de domaine" et est accessible par l’intermédiaire de services ou d’applications en réseau. Un domaine peut comporter plusieurs contrôleurs de domaine. Chaque contrôleur de domaine possède une copie accessible en écriture de l’annuaire du domaine sur lequel il réside. Les modifications apportées à l’annuaire sont répliquées depuis le contrôleur de domaine d’origine vers les autres contrôleurs de domaine se trouvant dans le domaine, l’arborescence du domaine ou la forêt. Étant donné que l’annuaire est répliqué et que chaque contrôleur de domaine dispose d’une copie accessible en écriture, l’annuaire offre un grand niveau de disponibilité aux utilisateurs et aux administrateurs du domaine.

Les données de l’annuaire sont stockées dans le fichier Ntds.dit sur le contrôleur de domaine. Il est recommandé de stocker ce fichier sur une partition NTFS. Certaines données sont stockées dans le fichier de base de données de l’annuaire, tandis que d’autres sont conservées dans un système de fichiers répliqué, tel que des scripts d’ouverture de session et des stratégies de groupe.

Il existe trois catégories de données d’annuaire répliquées entre les contrôleurs de domaine :

  • Données de domaine : les données de domaine contiennent des informations sur les objets au sein d’un domaine. Il s’agit généralement des informations d’annuaire, telles que les contacts électroniques, les attributs des comptes d’utilisateur et d’ordinateur et les ressources publiées dont les administrateurs et les utilisateurs pourraient avoir besoin.

    Par exemple, lorsqu’un compte d’utilisateur vient s’ajouter à votre réseau, un objet de compte d’utilisateur et des données d’attribut sont stockées dans les données de domaine. Lorsque des modifications sont apportées aux objets de l’annuaire de votre entreprise (création, suppression ou modification des attributs d’un objet, par exemple), ces données sont également stockées dans les données de domaine.

  • Données de configuration : les données de configuration définissent la topologie de l’annuaire. Elles comprennent la liste de l’ensemble des domaines, arborescences et forêts, ainsi que l’emplacement des contrôleurs de domaine et des catalogues globaux.

  • Données de schéma : le schéma constitue la définition technique de toutes les données d’attribut et d’objet qu’il est possible de stocker dans l’annuaire. Windows Server 2003 inclut un schéma par défaut qui définit plusieurs types d’objets, tels que les comptes d’utilisateur et d’ordinateur, les groupes, les domaines, les unités organisationnelles et les stratégies de sécurité. Les administrateurs et les programmeurs peuvent développer le schéma en définissant de nouveaux types d’objets et attributs ou en ajoutant de nouveaux attributs aux objets existants. Des listes de contrôle d’accès (ACL) protègent les objets de schéma pour garantir que seuls les utilisateurs autorisés puissent modifier le schéma.

Active Directory et sécurité

La sécurité de Active Directory est assurée par l’intermédiaire de l’authentification des ouvertures de session et du contrôle de l’accès aux objets de l’annuaire. À l’aide d’une seule ouverture de session réseau, les administrateurs peuvent gérer les données de l’annuaire et l’organisation de leur réseau, tandis que les utilisateurs réseau autorisés peuvent accéder aux ressources depuis n’importe quel point du réseau. L’administration fondée sur des stratégies facilite la gestion des réseaux les plus complexes.

Active Directory permet de stocker de façon sécurisée les informations des comptes d’utilisateur et des groupes grâce à un contrôle d’accès sur les objets et aux informations d’identification des utilisateurs. Étant donné que Active Directory stocke non seulement les informations d’identification des utilisateurs mais aussi les informations de contrôle d’accès, les utilisateurs qui ouvrent une session sur le réseau obtiennent à la fois l’authentification et l’autorisation nécessaires pour accéder aux ressources du système. Par exemple, lorsqu’un utilisateur ouvre une session sur le réseau, le système de sécurité l’authentifie grâce aux informations stockées dans Active Directory. Lorsque l’utilisateur tente ensuite d’accéder à un service sur le réseau, le système vérifie les propriétés définies dans la liste de contrôle d’accès discrétionnaire (DACL) de ce service.

Les administrateurs peuvent gérer la sécurité du système plus efficacement grâce aux comptes de groupe que Active Directory leur permet de créer. Par exemple, un administrateur peut autoriser tous les utilisateurs d’un groupe à lire un fichier en modifiant les propriétés de ce dernier. Avec cette méthode, l’accès aux objets dans Active Directory repose sur l’appartenance à des groupes.

Schéma Active Directory

Le schéma Active Directory est l’ensemble des définitions qui régissent les types d’objets, ainsi que les types d’informations sur ces objets, qu’il est possible de stocker dans Active Directory. Ces définitions étant elles-mêmes stockées sous forme d’objets, Active Directory peut gérer les objets du schéma par le biais des mêmes procédures de gestion que pour le reste des objets figurant dans l’annuaire. Le schéma contient deux types de définitions : des attributs et des classes. Les attributs et les classes s’appellent également des "objets de schéma" ou des "métadonnées".

Classes

Les classes, également appelées "classes d’objet", décrivent les objets d’annuaire qu’il est possible de créer. Chaque classe se compose d’un ensemble d’attributs. Lorsque vous créez un objet, les attributs stockent les informations qui définissent l’objet. La classe Utilisateur, par exemple, se compose de plusieurs attributs, notamment une adresse réseau et un répertoire de base. Chaque objet stocké dans Active Directory est une instance d’une classe d’objet.

Extension du schéma

Les développeurs et les administrateurs de réseau confirmés peuvent développer le schéma de façon dynamique en définissant de nouvelles classes et de nouveaux attributs pour les classes existantes.

Le contenu du schéma est régi par le contrôleur de domaine possédant le rôle de maître d’opérations du schéma. Une copie du schéma se réplique sur tous les contrôleurs de domaine de la forêt. L’utilisation de ce schéma commun garantit l’intégrité et la cohérence des données au sein de toute la forêt.

Vous pouvez également développer le schéma à l’aide du composant logiciel enfichable Schéma Active Directory. Pour pouvoir le modifier, vous devez remplir les trois conditions suivantes :

  • être membre du groupe des administrateurs de schéma ;

  • avoir installé le composant logiciel enfichable Schéma Active Directory sur l’ordinateur possédant le rôle de maître d’opérations du schéma ;

  • posséder les autorisations administrateur permettant de modifier le contrôleur de schéma.

Avant de modifier le schéma, il est primordial de prendre en considération les trois points suivants :

  • Les extensions de schéma sont globales. Lorsque vous développez un schéma, les modifications apportées s’appliquent à l’intégralité de la forêt, car elles se répliquent sur tous les contrôleurs de domaine de l’ensemble des domaines de la forêt.

  • Il est impossible de modifier les classes de schéma liées au système. Vous ne pouvez pas modifier les classes système par défaut du schéma Active Directory. Les applications servant à modifier le schéma peuvent toutefois ajouter des classes système facultatives que vous êtes en mesure de modifier.

  • Les extensions de schéma peuvent être réversibles. Il est possible de modifier certaines propriétés d’attributs ou de classes après leur création. Vous pouvez désactiver les nouvelles classes ou les nouveaux attributs ajoutés au schéma, mais vous ne pouvez pas les supprimer. Vous pouvez cependant faire disparaître des définitions et réutiliser des identificateurs d’objet (OID) ou des noms complets, ce qui vous permet de rétablir une définition de schéma.

Pour plus d’informations sur la modification du schéma, voir les Kits de ressources de Microsoft Windows Site en anglais.

Active Directory ne prend pas en charge la suppression des objets de schéma. Vous pouvez cependant marquer les objets comme étant désactivés, ce qui revient sous bien des aspects à les supprimer.

Attributs

Les attributs se définissent de façon distincte des classes. Chaque attribut est défini une seule fois et peut être réutilisé dans plusieurs classes. Par exemple, l’attribut Description se retrouve dans plusieurs classes, mais n’est défini qu’une seule fois dans le schéma pour des raisons d’homogénéité.

Les attributs décrivent des objets. Chacun d’entre eux possède sa propre définition, qui décrit le type d’informations que vous pouvez spécifier pour l’attribut. Chaque attribut du schéma est spécifié dans la classe attribut-schéma, qui détermine les informations que chaque définition d’attribut doit contenir.

La liste des attributs applicables à un objet particulier dépend de la classe de laquelle l’objet est une instance et de toutes les superclasses de la classe de cet objet. Les attributs se définissent une seule fois et peuvent être réutilisés plusieurs fois. Ceci garantit l’homogénéité de toutes les classes partageant un attribut donné.

Attributs à valeurs multiples

Les attributs peuvent comporter une valeur unique ou plusieurs valeurs. La définition de schéma d’un attribut indique si une instance d’un attribut peut avoir plusieurs valeurs. L’instance d’un attribut à valeur unique peut être vide ou contenir une seule valeur, tandis que l’instance d’un attribut à plusieurs valeurs peut être vide ou contenir une ou plusieurs valeurs. Chaque valeur d’un attribut à plusieurs valeurs doit être unique.

Indexation des attributs

Les index s’appliquent aux attributs, mais pas aux classes. L’indexation d’un attribut peut aider à trouver plus rapidement les objets affectés de cet attribut lors des recherches. Lorsque vous marquez un attribut comme étant indexé, ce sont toutes ses instances qui s’ajoutent à l’index, et pas seulement celles qui appartiennent à une classe particulière.

L’ajout d’attributs indexés peut avoir un impact sur la durée de la réplication de Active Directory, la mémoire disponible et la taille de la base de données. La base de données étant plus volumineuse, sa réplication prend plus de temps.

Il est également possible d’indexer les attributs à plusieurs valeurs. Dans ce cas, la taille de Active Directory et le temps nécessaire pour créer les objets augmentent de façon plus importante que lors de l’indexation de propriétés à valeur unique. Lorsque vous choisissez les attributs à indexer, assurez-vous qu’ils sont fréquemment utilisés et considérez les avantages que cela vous apportera par rapport à l’impact que cette opération aura sur les performances.

Il est en outre possible d’effectuer des recherches sur un attribut de schéma indexé en fonction du conteneur dans lequel il est stocké, ce qui évite d’effectuer une recherche sur toute la base de données Active Directory. Grâce à cette fonctionnalité, les recherches s’exécutent plus rapidement et utilisent moins de ressources.

Rôle du catalogue global

Un catalogue global est un contrôleur de domaine qui stocke une copie de tous les objets Active Directory présents dans une forêt. Il stocke également les attributs de recherche les plus courants de chaque objet. Il contient aussi une copie complète de tous les objets de l’annuaire pour son domaine hôte et une copie partielle de tous les objets pour tous les autres domaines de la forêt. Il permet ainsi d’effectuer efficacement des recherches sans avoir à faire inutilement référence aux contrôleurs de domaine.

Un catalogue global se crée automatiquement sur le contrôleur de domaine initial de la forêt. Vous pouvez en ajouter un à d’autres contrôleurs de domaine ou changer l’emplacement par défaut du catalogue global pour le placer sur un autre contrôleur de domaine.

Un catalogue global assure les rôles suivants dans l’annuaire :

  • Recherche d’objets : un catalogue global permet aux utilisateurs de rechercher des données d’annuaire à travers tous les domaines d’une forêt, quel que soit l’endroit où ces données se trouvent. Les recherches effectuées au sein d’une forêt sont très rapides et n’engendrent qu’un trafic minimal sur le réseau.

    Lorsque vous recherchez des utilisateurs ou des imprimantes à partir du menu Démarrer ou sélectionnez l’option Tout l’annuaire dans une requête, la recherche se fait en fait dans un catalogue global. Une fois les critères de recherche spécifiés, votre demande est acheminée vers le port 3268 de catalogue global par défaut et envoyée à un catalogue global pour résolution.

  • Authentification des noms d’utilisateur principaux : un catalogue global résout les noms d’utilisateur principaux lorsque le contrôleur de domaine assurant l’authentification ne connaît pas le compte. Par exemple, si un compte d’utilisateur se trouve sur exemple1.microsoft.com et que l’utilisateur décide d’ouvrir une session sous le nom principal utilisateur1@exemple1.microsoft.com à partir d’un ordinateur situé sur exemple2.microsoft.com, le contrôleur de domaine de exemple2.microsoft.com n’est pas en mesure de trouver le compte de l’utilisateur. Il contacte alors le serveur de catalogues global pour terminer l’ouverture de session.

  • Fourniture des informations relatives à l’appartenance aux groupes universels dans un environnement à plusieurs domaines : contrairement aux appartenances aux groupes globaux, qui sont stockées sur chaque domaine, les appartenances aux groupes universels résident uniquement dans un catalogue global. Par exemple, lorsqu’un utilisateur appartenant à un groupe universel ouvre une session sur un domaine défini sur le niveau de fonctionnalité de domaine Windows 2000 en mode natif ou version ultérieure, le catalogue global fournit les informations sur l’appartenance aux groupes universels pour le compte d’utilisateur.

Si aucun catalogue global n’est disponible lorsqu’un utilisateur ouvre une session sur un domaine Windows 2000 en mode natif ou version ultérieure, l’ordinateur utilise les informations d’identification figurant dans le cache pour connecter l’utilisateur, si ce dernier a déjà ouvert une session sur le domaine par le passé. Si l’utilisateur n’a jamais ouvert de session sur le domaine auparavant, il peut uniquement se connecter à l’ordinateur local.

Remarque : les membres du groupe des administrateurs de domaine peuvent ouvrir une session sur le réseau même lorsque aucun catalogue global n’est disponible.

Recherche d’informations dans l’annuaire

Comme nous l’avons vu plus haut dans cet article, Active Directory est conçu pour fournir des résultats aux requêtes émanant d’utilisateurs ou de programmes, portant sur les objets d’annuaire. La commande Rechercher du menu Démarrer permet aux administrateurs et aux utilisateurs de facilement rechercher des informations dans l’annuaire. Les programmes clients peuvent accéder aux données figurant dans Active Directory à l’aide des interfaces ADSI (Active Directory Service Interfaces).

L’un des avantages principaux de Active Directory tient à sa banque de données riches en informations sur les objets du réseau. Les données qu’il publie concernant les utilisateurs, les ordinateurs, les fichiers et les imprimantes sont mises à la disposition des utilisateurs du réseau. L’accès dépend des autorisations de sécurité régissant la consultation des informations.

Les tâches quotidiennes sur un réseau impliquent la communication avec d’autres utilisateurs et la connexion à des ressources publiées. Ces tâches nécessitent de rechercher des noms et des adresses pour envoyer du courrier électronique ou se connecter à des ressources partagées. À cet égard, Active Directory fonctionne comme un carnet d’adresses partagé pour l’entreprise. Par exemple, vous pouvez rechercher un utilisateur par prénom, nom, nom électronique, bureau ou toute autre propriété du compte d’utilisateur de cette personne. Comme nous l’avons expliqué plus haut dans cet article, le catalogue global optimise la recherche d’informations.

Efficacité des outils de recherche

Les administrateurs peuvent utiliser les boîtes de dialogue avancées de recherche du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory pour effectuer les tâches de gestion plus efficacement, ainsi que pour personnaliser et filtrer facilement les données récupérées de l’annuaire. De plus, ils peuvent ajouter rapidement des objets aux groupes, sans grand impact sur le réseau, en recherchant les membres correspondants à l’aide de requêtes sans navigation.

Réplication de Active Directory

La réplication améliore la disponibilité des données, la tolérance aux pannes, l’équilibrage de la charge et les gains de performances de l’annuaire. Active Directory fait appel à une réplication multimaître qui vous permet de mettre à jour l’annuaire au niveau de n’importe quel contrôleur de domaine plutôt qu’uniquement au niveau du contrôleur principal de domaine. Le modèle multimaître a l’avantage d’offrir une plus grande tolérance de pannes, car, dans le cas de plusieurs contrôleurs de domaine, la réplication se poursuit, même si l’un des contrôleurs de domaine s’arrête.

Les contrôleurs de domaine stockent et répliquent les éléments suivants :

  • Informations du schéma : ces informations définissent les objets qu’il est possible de créer dans l’annuaire et les attributs qu’ils peuvent posséder. Elles sont partagées par tous les domaines de la forêt. Les données du schéma sont répliquées sur tous les contrôleurs de domaine de la forêt.

  • Informations de configuration : ces informations définissent la structure logique de votre déploiement et contiennent notamment des données relatives à la structure des domaines et à la topologie de la réplication. Elles sont partagées par tous les domaines de la forêt. Les données de configuration sont répliquées sur tous les contrôleurs de domaine de la forêt.

  • Informations sur les domaines : ces informations définissent tous les objets d’un domaine. Étant propres à un domaine, elles ne sont pas distribuées aux autres domaines. Pour permettre la recherche d’informations au sein de l’arborescence ou de la forêt d’un domaine, le catalogue global stocke un sous-ensemble des propriétés de tous les objets présents dans tous les domaines. Les données de domaine sont répliquées sur tous les contrôleurs du domaine.

  • Informations sur les applications : les informations stockées dans la partition de l’annuaire d’applications sont prévues pour les situations nécessitant de répliquer des informations, mais pas nécessairement à l’échelle globale. Il est possible de réacheminer explicitement les données d’applications vers des contrôleurs de domaine spécifiés par l’administrateur au sein de la forêt pour éviter un trafic de réplication superflu. Vous pouvez également les configurer pour qu’elles se répliquent sur tous les contrôleurs du domaine.

Rôle des sites dans la réplication

Les sites rationalisent la réplication des données d’annuaire. Les informations relatives au schéma et à la configuration de l’annuaire sont répliquées au sein de toute la forêt, tandis que les données de domaine sont répliquées entre tous les contrôleurs de domaine du domaine et partiellement répliquées dans les catalogues globaux. En réduisant la réplication de façon stratégique, vous pouvez réduire d’autant l’impact sur votre réseau.

Les contrôleurs de domaine font appel aux sites et au contrôle des changements de réplication pour optimiser la réplication comme suit :

  • En analysant de temps à autre les connexions utilisées, Active Directory utilise les connexions réseau les plus efficaces.

  • Active Directory réplique les modifications en suivant plusieurs itinéraires de sorte à améliorer la tolérance de pannes.

  • En ne répliquant que les données modifiées, les l’impact de la réplication est réduit.

Lorsqu’un déploiement ne s’organise pas sous forme de sites, l’échange d’informations entre les contrôleurs de domaine et les clients peut être chaotique. Les sites optimisent en effet l’utilisation du réseau.

Active Directory réplique les informations de l’annuaire au sein d’un site à une fréquence plus élevée qu’entre sites. De cette manière, les contrôleurs de domaine prioritaires, c’est-à-dire ceux qui sont susceptibles d’avoir besoin de données d’annuaire particulières, reçoivent d’abord les réplications. Les contrôleurs de domaine des autres sites reçoivent toutes les modifications apportées à l’annuaire, mais cette opération s’effectue moins souvent de sorte à réduire la consommation de la bande passante du réseau. Cette réduction est d’autant plus importante que les données sont compressées pendant la réplication entre sites. Pour des raisons d’efficacité, les mises à jour ne s’effectuent que lors de l’ajout de nouvelles informations ou lors de la modification d’informations existantes dans l’annuaire.

Si les mises à jour de l’annuaire étaient distribuées en permanence à tous les autres contrôleurs du domaine, elles utiliseraient des ressources réseau. Bien que vous puissiez manuellement ajouter ou configurer des connexions ou encore répliquer des données sur une connexion particulière, le Vérificateur de cohérence des données Active Directory optimise automatiquement la réplication en fonction des informations que vous spécifiez dans l’outil d’administration Sites et services Active Directory. Le Vérificateur de cohérence est chargé de l’élaboration et de la maintenance de la topologie de la réplication de Active Directory. Plus particulièrement, c’est lui qui décide du moment auquel la réplication a lieu et du groupe de serveurs sur lequel chaque serveur doit se répliquer.

Clients Active Directory

Avec le client Active Directory, bon nombre des fonctions Active Directory disponibles sous Windows 2000 Professionnel ou Windows XP Professionnel sont accessibles aux ordinateurs exécutant les systèmes d’exploitation Windows 95, Windows 98 et Windows NT® 4.0 :

  • Reconnaissance des sites : vous pouvez ouvrir une session sur le contrôleur de domaine le plus proche du client sur le réseau.

  • ADSI (Active Directory Service Interfaces) : vous pouvez utiliser des scripts avec Active Directory. ADSI offre également aux programmeurs Active Directory une API de programmation commune.

  • Client de tolérance de pannes du système de fichiers distribués (DFS) : vous pouvez accéder à Windows 2000 et aux serveurs exécutant la tolérance de pannes DFS Windows et faire basculer les partages de fichiers spécifiés dans Active Directory.

  • Authentification NTLM version 2 : vous pouvez utiliser les fonctions d’authentification améliorées de NT LanMan (NTLM) version 2. Pour plus d’informations sur l’activation de la version 2 de NTML, consultez l’article 239869, "Procédure pour activer l’authentification NTLM 2 sous Windows 95/98/2000 et NT" dans la Base de connaissances Microsoft à l’adresse https://support.microsoft.com/.

  • Pages des propriétés du carnet d’adresses Windows (WAB) de Active Directory : sur les pages des objets utilisateur, vous pouvez modifier des propriétés, notamment le numéro de téléphone et l’adresse d’un contact.

  • Fonction de recherche de Active Directory : à partir du menu Démarrer, vous pouvez rechercher des imprimantes et des utilisateurs dans un domaine Windows 2000 Server ou Windows. Pour plus d’informations sur la publication d’imprimantes dans Active Directory, consultez l’article Q234619, "Publishing a Printer in Windows 2000 Active Directory" dans la Base de connaissances Microsoft à l’adresse https://support.microsoft.com.

Windows 2000 Professionnel et Windows XP Professionnel offrent des fonctions non disponibles dans le client Active Directory sous Windows 95, Windows 98 et Windows NT 4.0, notamment la prise en charge de la version 5 de Kerberos, la prise en charge des technologies de gestion des stratégies de groupe ou IntelliMirror® et l’authentification mutuelle ou des noms de service principaux. En effectuant la mise à niveau vers Windows 2000 Professionnel ou Windows XP Professionnel, vous pouvez bénéficier des avantages qu’offrent ces fonctions. Pour plus d’informations, voir :

Pour installer le client Active Directory, voir la page consacrée au client Active Directory Site en anglais.

Nouvelles fonctions et améliorations de Active Directory

La suite de cet article technique récapitule les nouvelles fonctions et améliorations de Active Directory dans la famille Windows Server 2003 concernant les domaines suivants :

  • Intégration et productivité

  • Performances et évolutivité

  • Administration et gestion de la configuration

  • Fonctions de la stratégie de groupe

  • Sécurité

Intégration et productivité de Active Directory

Les interfaces de Active Directory (interfaces de programmation et utilisateur) constituent le moyen principal pour gérer les identités, les objets et les relations au sein de l’entreprise. En tant que tel, elles ont subi des modifications visant à améliorer l’efficacité de l’administration et les fonctions d’intégration.

Simplification de l’utilisation et de la gestion de Active Directory

Active Directory contient bon nombre de perfectionnements qui en simplifient l’utilisation, notamment des améliorations apportées aux composants logiciels enfichables de la console MMC et au Sélecteur d’objet. Les plug-ins MMC peuvent ainsi faciliter la gestion de plusieurs objets. Les administrateurs peuvent :

  • modifier plusieurs objets utilisateur : sélectionnez et modifiez simultanément plusieurs propriétés d’objet.

  • enregistrer des recherches : enregistrez des recherches effectuées sur le service Active Directory de sorte à pouvoir les réutiliser ultérieurement. Vous pouvez ensuite exporter les résultats dans XML.

  • sélectionner rapidement des objets à l’aide du sélecteur d’objet amélioré : ce composant a été repensé de sorte à améliorer le flux de travail, rendre plus efficaces les recherches d’objets dans un annuaire volumineux et proposer un mode de recherche plus souple. De nombreuses interfaces utilisateur y font appel et les développeurs de produits tiers peuvent s’en servir.

Autres fonctions et améliorations en matière d’intégration et de productivité

Fonction

Description
Modifications apportées à l’interface utilisateur des listes de contrôle d’accès (ACL) Les améliorations apportées à l’interface utilisateur des ACL portent sur la convivialité et les autorisations héritées par opposition aux autorisations d’objets particuliers.
Améliorations d’extensibilité Un administrateur qui possède un périphérique provenant d’un éditeur de logiciel ou d’un fabricant d’ordinateurs OEM et faisant appel à Active Directory dispose désormais de meilleures fonctions de gestion et peut ajouter toute classe d’objet à un groupe.
Objets utilisateur provenant d’autres annuaires LDAP Il est possible de définir des objets utilisateur définis dans des annuaires LDAP utilisant la classe inetOrgPerson, conformément à la norme RFC 2798 (Novell et Netscape, par exemple), à l’aide des interfaces utilisateur Active Directory. L’interface utilisateur fonctionnant avec les objets utilisateur Active Directory est compatible avec les objets inetOrgPerson. À présent, tout client ou application ayant besoin de la classe inetOrgPerson peut l’utiliser en toute simplicité.
Intégration Passport (via les services IIS) L’authentification Passport est désormais disponible pour les services IIS (Internet Information Services) 6.0 et permet de mapper les objets utilisateur Active Directory sur leur identification Passport correspondante (le cas échéant). L’autorité de sécurité locale (LSA) crée pour l’utilisateur un jeton, qui est configuré par IIS 6.0 pour la demande HTTP. Les utilisateurs Internet possédant une identification Passport correspondante peuvent à présent utiliser leur compte Passport pour accéder aux ressources de la même manière que s’ils avaient utilisé leurs informations d’identification Active Directory.
Utilisation des services Terminal Server avec ADSI Il est possible de créer un script pour les propriétés Terminal Server propres aux utilisateurs à l’aide de l’interface ADSI (Active Directory Services Interface) et ce, parallèlement à une configuration manuelle par l’intermédiaire de l’annuaire. Cette fonctionnalité facilite donc l’implémentation des modifications en bloc ou par programmation par l’intermédiaire de l’interface ADSI.
Fournisseurs WMI des moniteurs de réplication et d’approbation Les classes WMI (Windows Management Instrumentation) peuvent contrôler si les contrôleurs de domaine parviennent à répliquer correctement les informations Active Directory entre eux. Comme bon nombre de composants de Windows 2000 (réplication de Active Directory, par exemple) se reposent sur les approbations interdomaines, cette fonction permet également de contrôler que les approbations fonctionnent correctement. Les administrateurs ou le personnel d’exploitation peuvent à présent être rapidement avertis des problèmes de réplication par l’intermédiaire de WMI.
Listes de distribution MSMQ MSMQ (Message Queuing) assure la prise en charge de l’envoi des messages aux listes de distribution hébergées dans Active Directory. Les utilisateurs MSMQ peuvent facilement gérer les listes de distribution depuis Active Directory.

Performances et évolutivité de Active Directory

La façon dont Windows Server 2003 gère la réplication et la synchronisation des informations Active Directory a subi des modifications importantes. L’ajout de nouvelles fonctions relatives à l’installation, la migration et la maintenance a permis de rendre Active Directory plus souple, plus fiable et plus efficace.

Amélioration des performances pour les filiales

Le déploiement dans des filiales se compose généralement de nombreux bureaux distants possédant chacun leurs propres contrôleurs de domaine, dont les liaisons à un concentrateur ou un centre de données commun à l’entreprise sont toutefois lentes. Windows Server 2003 améliore le processus d’ouverture de session au niveau des filiales en éliminant la nécessité d’accéder au serveur de catalogues global central chaque fois qu’un utilisateur souhaite ouvrir une session. Les entreprises n’ont désormais plus besoin de déployer un serveur de catalogues global dans les filiales dans lesquelles le réseau est peu fiable.

Au lieu de contacter un catalogue global chaque fois qu’un utilisateur ouvre une session sur un contrôleur de domaine, le contrôleur de domaine met en cache l’appartenance aux groupes universels des utilisateurs qui ont déjà ouvert une session depuis ce site ou depuis des serveurs de catalogues globaux hors site lorsque le réseau était disponible. Les utilisateurs sont ensuite autorisés à ouvrir des sessions sans que le contrôleur de domaine n’ait besoin de contacter un serveur de catalogues global au moment de la connexion, ce qui réduit la demande sur les réseaux lents ou peu fiables. Ce perfectionnement améliore également la fiabilité du réseau lorsque aucun catalogue global n’est disponible pour traiter les demandes d’ouverture de session des utilisateurs.

Autres fonctions et améliorations en matière de performances

Fonction

Description
Désactivation de la compression du trafic de réplication inter-sites Vous pouvez désactiver la compression du trafic de réplication entre contrôleurs de domaine résidant dans des sites différents. Ceci permet de réduire la demande d’UC sur les contrôleurs de domaine et donc d’améliorer les performances, si nécessaire.
Prise en charge des serveurs virtuels en clusters Un objet ordinateur est à présent défini pour les serveurs en clusters. Les applications compatibles avec les clusters et avec Active Directory peuvent associer leurs propres informations de configuration à un objet bien défini.
Liaisons LDAP simultanées Il est possible d’effectuer plusieurs liaisons LDAP (Lightweight Directory Access Protocol) sur une même connexion afin d’authentifier les utilisateurs. Lorsqu’un développeur d’applications utilise cette fonction, les liaisons LDAP et les demandes d’authentification envoyées à Active Directory sont bien plus performantes.
Protection contre la surcharge des contrôleurs de domaine Cette fonction évite de surcharger un premier contrôleur de domaine Active Directory introduit dans un domaine contenant déjà un grand nombre de membres Windows 2000 et Windows Server 2003 mis à niveau.

Un domaine Windows NT® Server 4.0 contient des membres Windows 2000 et Windows Server 2003 (clients et serveurs). Lorsque vous mettez à niveau un contrôleur principal de domaine vers le Service Pack 2 (SP2) de Windows 2000 ou vers Windows Server 2003, vous pouvez le configurer pour qu’il émule le comportement d’un contrôleur de domaine Windows NT 4.0. Les membres de domaine Windows 2000 et Windows Server 2003 ne font pas de distinction entre les contrôleurs de domaine mis à niveau et les contrôleurs de domaine Windows NT 4.0.

Pour satisfaire aux besoins particuliers des administrateurs, les membres de domaine exécutant le SP2 de Windows 2000 ou Windows Server 2003 peuvent être configurés de manière à informer les contrôleurs de domaine exécutant le SP2 de Windows 2000 ou Windows Server 2003 de ne pas émuler le comportement d’un contrôleur de domaine Windows NT 4 lorsqu’ils répondent aux membres de domaine de ce type.
Paramétrage de la réplication du catalogue global Dans les domaines Windows Server 2003 sur lesquels la réplication du catalogue global est configurée, le paramétrage de la synchronisation du catalogue global est conservé, et non pas réinitialisé. Les tâches générées à la suite d’une extension du jeu d’attributs partiel (PAS) sont ainsi réduites au minimum, car seuls les attributs ajoutés sont transmis. Globalement, cela permet de réduire le trafic engendré par la réplication et d’optimiser l’efficacité des mises à jour PAS.
Améliorations apportées à la réplication des appartenances à des groupes Lorsqu’une forêt est mise à niveau vers une forêt Windows Server 2003 en mode natif, l’appartenance aux groupes est modifiée de sorte à stocker et répliquer les valeurs de membres individuels au lieu de traiter l’appartenance complète d’un seul bloc. Ceci permet de diminuer la bande passante réseau utilisée et l’utilisation du processeur au cours de la réplication et élimine quasiment les risques de perte de mises à jour lorsque vous effectuez des mises à jour simultanées.
Extension de LDAP pour la prise en charge de la durée de vie des entrées dynamiques Active Directory est capable de stocker les entrées dynamiques. Ces entrées spécifient une valeur de durée de vie. L’utilisateur peut modifier la valeur de la durée de vie pour que l’entrée soit conservée pendant une période plus longue que la durée de vie restante actuelle. L’API en langage C de LDAP C a été étendu pour prendre en charge cette nouvelle fonctionnalité. Ceci permet aux développeurs d’applications de stocker dans l’annuaire des informations qu’il n’est pas nécessaire de conserver très longtemps. Active Directory supprime automatiquement ces données une fois que leur durée de vie expire.
Prise en charge des déploiements 64 bits Il existe à présent des paramètres de stratégie de groupe facilitant la gestion des déploiements de logiciels 64 bits. Les options de l’éditeur de déploiement d’applications (ADE) aident à déterminer s’il est possible de déployer des applications 32 bits sur des clients 64 bits. Vous pouvez utiliser l’outil Stratégie de groupe pour vérifier que seules les applications appropriées sont déployées sur les clients 64 bits.

Administration et gestion de la configuration de Active Directory

Windows Server 2003 permet aux administrateurs de configurer et de gérer Active Directory plus efficacement, même dans de très grandes entreprises utilisant plusieurs forêts, domaines et sites.

Configuration de Active Directory avec les nouveaux Assistants d’installation

Le nouvel Assistant Configurer votre serveur simplifie la procédure de configuration de Active Directory et fournit des paramètres prédéfinis pour des rôles de serveur particuliers. Il aide ainsi les administrateurs à uniformiser la façon dont les serveurs sont initialement déployés.

Les administrateurs sont guidés à travers le processus d’installation des serveurs de sorte à simplifier la procédure pour aider les utilisateurs à terminer l’installation des composants facultatifs choisis au cours de l’installation de Windows. Ils peuvent se servir de cette fonction pour effectuer les opérations suivantes :

  • installer le premier serveur d’un réseau en configurant automatiquement DHCP, DNS et Active Directory à l’aide des paramètres de base par défaut ;

  • aider les utilisateurs à configurer les serveurs membres sur un réseau en indiquant les fonctions dont ils ont besoin pour configurer un serveur de fichier, un serveur d’impression, un serveur Web et multimédia, un serveur d’applications, un serveur d’accès distant et de routage ou un serveur de gestion des adresses IP.

Les administrateurs peuvent utiliser cette fonction pour effectuer une récupération d’urgence, répliquer la configuration d’un serveur sur plusieurs ordinateurs, terminer l’installation, configurer les rôles des serveurs ou définir la configuration du premier serveur ou du serveur principal sur un réseau.

Autres fonctions et améliorations en matière d’administration

Fonction

Description
Création automatique de zones DNS Vous pouvez créer et configurer automatiquement les serveurs et les zones DNS (Domain Name System) sur les systèmes d’exploitation de la famille Windows Server 2003. Leur création se fait par l’intermédiaire de l’entreprise en vue d’héberger la nouvelle zone. Les zones permettent de réduire considérablement le temps que la configuration manuelle de chaque serveur DNS nécessite.
Génération de la topologie de réplication inter-sites Le générateur de topologie inter-site (ISTG) a été mis à jour pour utiliser des algorithmes améliorés et prendre en charge les forêts comportant un plus grand nombre de sites que sous Windows 2000. Étant donné que tous les contrôleurs de domaine de la forêt exécutant le rôle ISTG doivent s’accorder sur la topologie de réplication inter-sites, les nouveaux algorithmes ne sont activés qu’une fois que la forêt est mise à niveau vers une forêt Windows Server 2003 en mode natif. Les nouveaux algorithmes ISTG fournis rendent la réplication entre forêts plus performante.
Améliorations de la configuration du DNS Cette fonction simplifie le débogage et le signalement d’une configuration incorrecte du DNS, et aide à configurer correctement l’infrastructure DNS requise pour le déploiement de Active Directory.

Ceci est également valable lorsqu’un contrôleur de domaine est promu au sein d’une forêt existante. Dans ce cas, l’Assistant Installation de Active Directory contacte un contrôleur de domaine existant pour mettre à jour l’annuaire et répliquer les parties requises de l’annuaire à partir du contrôleur de domaine. Si l’Assistant ne parvient pas à trouver le contrôleur de domaine en raison d’une mauvaise configuration du DNS ou de la non-disponibilité du contrôleur de domaine, il effectue un débogage et indique la cause de l’échec, ainsi que la solution au problème.

Pour se trouver sur un réseau, tous les contrôleurs de domaine doivent enregistrer les enregistrements DNS du localisateur de contrôleurs de domaine. L’Assistant Installation de Active Directory vérifie que la configuration de l’infrastructure DNS est correcte pour permettre au nouveau contrôleur de domaine d’effectuer une mise à niveau dynamique de ses enregistrements DNS du localisateur de contrôleurs de domaine. Si cette vérification permet de découvrir l’infrastructure DNS mal configurée, elle la signale en expliquant comment résoudre le problème.
Installation d’un réplica à partir d’un support Au lieu de répliquer une copie intégrale de la base de données Active Directory sur le réseau, cette fonction permet à un administrateur d’effectuer la réplication initiale à partir de fichiers créés au cours de la sauvegarde d’un contrôleur de domaine ou d’un serveur de catalogues global existant. Vous pouvez transférer les fichiers de sauvegarde, qui peuvent avoir été générés par tout utilitaire de sauvegarde prenant en charge Active Directory, vers le contrôleur de domaine souhaité par l’intermédiaire d’un support (bande, CD-ROM, DVD-ROM ou copie des fichiers sur un réseau, par exemple).
Améliorations des outils de migration L’outil de migration Active Directory (ADMT) a été perfectionné sous Windows Server 2003 pour assurer les fonctions suivantes :

  • Migration des mots de passe : la version 2 de l’outil ADMT permet de faire migrer les mots de passe de Windows NT 4.0 vers des domaines Windows 2000 ou Windows Server 2003, ainsi que ceux de Windows 2000 vers des domaines Windows Server 2003.

  • Nouvelle interface de script : il existe une nouvelle interface de script pour les tâches de migration les plus courantes, telles que la migration des utilisateurs, des groupes et des ordinateurs. L’outil ADMT peut désormais être contrôlé avec n’importe quel langage et prendre en charge les interfaces COM, par exemple les systèmes de développement Visual Basic® Script, Visual Basic et Visual C++®.

  • Prise en charge de la ligne de commande : l’interface de script a également été étendue pour assurer la prise en charge de la ligne de commande. Il est possible d’exécuter directement toutes les tâches contrôlables par des scripts depuis une ligne de commande ou par l’intermédiaire de fichiers de commandes.

  • Améliorations de la traduction de sécurité :la traduction de la sécurité, telle que la régénération des ressources dans les listes de contrôle d’accès, a été développée de sorte à pouvoir désactiver le domaine source au moment de l’exécution de la traduction de sécurité. L’outil ADMT permet en outre désormais de spécifier un fichier de mappage qui peut servir d’entrée pour les traductions de sécurité.

La version 2 de l’outil ADMT facilite la migration vers Active Directory et offre davantage d’options pour l’automatisation de la migration.
Partitions de l’annuaire d’applications Les services Active Directory permettent de créer un nouveau type de contexte d’appellation, ou partition, appelé "partition d’application". Ce contexte d’appellation peut contenir une hiérarchie de tout type d’objet, à l’exception des entités de sécurité (utilisateurs, groupes ou ordinateurs). Il est possible de le configurer pour répliquer n’importe quel ensemble de contrôleurs de domaine de la forêt, n’appartenant pas tous nécessairement au même domaine.

Cette fonction permet d’héberger des données dynamiques dans Active Directory sans trop affecter les performances réseau, en offrant la possibilité de contrôler la portée de la réplication et l’emplacement des réplicas.
Zones DNS intégrées stockées dans des partitions d’application Les zones DNS de Active Directory peuvent être stockées et répliquées dans les partitions d’application. L’utilisation de partitions d’application pour stocker les données DNS permet de diminuer la quantité d’objets stockés dans le catalogue global. De plus, lorsque les données des zones DNS sont stockées dans une partition d’application, elles sont uniquement répliquées sur le sous-ensemble de contrôleurs du domaine spécifié dans la partition d’application. Par défaut, les partitions d’application propres à DNS contiennent uniquement les contrôleurs de domaine exécutant le serveur DNS. En outre, le stockage de la zone DNS dans une partition d’application permet de répliquer la zone DNS sur les serveurs DNS qui s’exécutent sur les contrôleurs de domaine de différents domaines d’une forêt Active Directory. En intégrant les zones DNS à une partition d’application, il est possible de limiter la réplication de ces informations et d’ainsi diminuer la bande passante totale nécessaire à la réplication.
Améliorations du contrôle DirSync Cette fonction améliore la prise en charge Active Directory pour le contrôle LDAP, appelée "contrôle DirSync", afin de récupérer les informations modifiées de l’annuaire. Le contrôle DirSync peut accéder à des vérifications similaires à celles effectuées sur les recherches LDAP standard.
Niveaux de fonctionnalité Semblable au mode natif sous Windows 2000, cette fonction offre un mécanisme de commande de versions dont les composants Active Directory standard peuvent se servir pour déterminer les fonctions disponibles sur chaque contrôleur de domaine au sein d’un domaine et d’une forêt. Elle sert également à empêcher les contrôleurs de domaine antérieurs à Windows Server 2003 de se joindre à une forêt sur laquelle la fonction autorisant uniquement le service Active Directory de Windows Server 2003 est activée.
Désactivation des attributs et des classes de schéma Active Directory a été modifié de sorte à permettre la désactivation des attributs et des définitions de classe dans le schéma Active Directory. Il est possible de redéfinir les attributs et les classes si la définition d’origine est erronée.

La désactivation permet de modifier la définition d’un attribut ou d’une classe après leur ajout au schéma si une erreur s’est glissée dans la définition d’une propriété non modifiable. Il s’agit d’une opération réversible, qui permet aux administrateurs d’annuler toute désactivation accidentelle sans conséquence. Les administrateurs disposent à présent d’une plus grande souplesse pour gérer le schéma Active Directory.
Changement du nom d’un domaine Cette fonction prend en charge la modification des noms DNS et/ou NetBIOS des domaines existants d’une forêt en garantissant que la structure de la forêt résultante reste cohérente. L’identité d’un domaine renommé, formée de son identificateur de domaine global unique (GUID) et de son identificateur de sécurité (SID) de domaine, ne change pas. De plus, l’appartenance d’un ordinateur à des domaines ne change pas suite à la modification du nom du domaine auquel il appartient.

Cette fonction ne concerne pas la modification du domaine racine de la forêt. Bien qu’il soit possible de renommer le domaine racine d’une forêt, il est impossible d’en désigner un autre.

Lorsque vous changez le nom d’un domaine, une interruption de service nécessitant de redémarrer tous les contrôleurs de domaine se produit. Il faut également redémarrer deux fois chaque ordinateur membre du domaine renommé. Bien que cette fonction permette de renommer un domaine, ce n’est pas censé être une tâche ordinaire.
Mise à niveau d’une forêt et de domaines La prise en charge des applications et de la sécurité a été améliorée dans Active Directory. Pour pouvoir mettre à niveau le premier contrôleur de domaine Windows Server 2003 d’une forêt ou d’un domaine existant, il faut d’abord préparer la forêt et les domaines pour qu’ils prennent en charge ces fonctions. Adprep est un nouvel outil qui facilite la mise à niveau des forêts et des domaines. Vous n’en avez cependant pas besoin pour effectuer une mise à niveau depuis Windows NT 4.0 ou lorsque vous avez effectué une toute nouvelle installation de Active Directory sur des serveurs Windows Server 2003.
Moniteurs de réplication et d’approbation Cette fonction permet aux administrateurs de contrôler si les contrôleurs de domaine parviennent à répliquer correctement les informations Active Directory entre eux. Comme bon nombre de composants de Windows (réplication de Active Directory, par exemple) se reposent sur les approbations interdomaines, cette fonction permet également de contrôler que les approbations fonctionnent correctement.

Fonctions de stratégie de groupe de Active Directory

Gestion de la stratégie de groupe

La console de gestion de la stratégie de groupe (GPMC) de Microsoft vous permet de gérer la stratégie de groupe de façon plus efficace et moins coûteuse au sein de votre entreprise. Il s’agit d’un nouveau composant logiciel enfichable de la console MMC (Microsoft Management Console) et d’un ensemble d’interfaces contrôlables par des scripts assurant la gestion de la stratégie de groupe. La console GPMC sera disponible séparément au moment du lancement de Windows Server 2003.

Rôle de la console GPMC

La console GPMC est conçue pour :

  • Simplifier la gestion de la stratégie de groupe en centralisant l’administration des principaux aspects de la stratégie de groupe au sein d’un seul emplacement.

  • Satisfaire aux besoins majeurs en matière de déploiement de la stratégie de groupe, à la demande des clients, en assurant les fonctions suivantes :

    • interface utilisateur facilitant l’utilisation de l’outil Stratégie de groupe ;

    • sauvegarde/restauration des objets de stratégie de groupe (GPO) ;

    • importation/exportation et copie/collage des objets de stratégie de groupe et des filtres WMI (Windows Management Instrumentation) ;

    • gestion simplifiée de la sécurité liée à la stratégie de groupe ;

    • création de rapports HTML pour les paramètres d’objets de stratégie de groupe ;

    • création de rapports HTML pour les données issues des outils Résultats de la stratégie de groupe et Modélisation de la stratégie de groupe (connu auparavant sous le nom de "Jeu de stratégie résultant") ;

    • création de scripts pour les opérations sur les objets de stratégie de groupe exposés dans cet outil (mais pas pour les paramètres d’un objet de stratégie de groupe).

Avant l’introduction de la console GPMC, les administrateurs devaient faire appel à plusieurs outils Microsoft pour gérer la stratégie de groupe. La console GPMC associe les fonctionnalités de stratégie de groupe existantes de ces outils aux nouvelles fonctions présentées ci-dessus.

Gestion de domaines Windows 2000 et Windows Server 2003

La console GPMC est capable de gérer à la fois les domaines Windows 2000 et Windows Server 2003 avec le service Active Directory®. Quel que soit le cas de figure, l’ordinateur administratif sur lequel l’outil s’exécute doit fonctionner sous l’un des systèmes d’exploitation suivants :

  • Windows Server 2003 ;

  • Windows XP Professionnel avec Service Pack 1 (SP1), plus un correctif postérieur au SP1 et Microsoft .NET Framework.

Pour plus d’informations, voirEnterprise Management with the Group Policy Management Console Site en anglais.

Autres fonctions et améliorations liées à la stratégie de groupe

Fonction

Description
Redirection des conteneurs d’utilisateurs et d’ordinateurs par défaut Windows Server 2003 inclut des outils permettant de rediriger automatiquement les nouveaux objets utilisateur et ordinateur vers des unités organisationnelles données sur lesquelles la stratégie de groupe peut être appliquée.

Cette fonction évite que les administrateurs ne soient confrontés à une situation dans laquelle les nouveaux objets utilisateur et ordinateur restent dans les conteneurs par défaut au niveau racine des domaines. Les conteneurs de ce type n’ont pas été conçus pour contenir des liens de stratégie de groupe, tandis que les clients n’ont pas été conçus pour lire ni appliquer la stratégie de groupe depuis ces conteneurs. Bon nombre de clients qui les utilisaient se sont donc trouvés contraints d’introduire une stratégie au niveau des domaines, ce qui peut être gênant dans bien des cas.

C’est pourquoi, Microsoft recommande plutôt de créer une hiérarchie logique d’unités organisationnelles permettant de stocker les nouveaux objets utilisateur et ordinateur. Les administrateurs peuvent utiliser deux nouveaux kits de ressources, RedirUsr et ReDirComp, pour spécifier un autre emplacement par défaut pour les trois API héritées, à savoir NetUserAdd(), NetGroupAdd() et NetJoinDomain(). Ils peuvent ainsi rediriger les emplacements par défaut vers des unités organisationnelles adéquates, puis appliquer directement la stratégie de groupe à ces unités.
Résultats de la stratégie de groupe L’outil Résultats de la stratégie de groupe permet aux administrateurs de déterminer et d’analyser le jeu de stratégies actuellement appliqué à une cible donnée. Il leur permet ainsi de consulter les paramètres de stratégie existants sur des ordinateurs particuliers. L’outil Résultats de la stratégie de groupe s’appelait auparavant Jeu de stratégie résultant (mode de journalisation).
Modélisation de la stratégie de groupe L’outil Modélisation de la stratégie de groupe est conçu pour aider les administrateurs à planifier la croissance et la réorganisation de leur réseau. Il leur permet de revoir les paramètres de stratégie existants, les applications et la sécurité en fonction d’un scénario hypothétique. Une fois qu’un administrateur décide qu’une modification est nécessaire ou inéluctable, il peut lancer une série de tests pour déterminer l’impact du transfert d’un utilisateur ou d’un groupe d’utilisateurs vers un autre emplacement, groupe de sécurité, voire même ordinateur. Sont inclus les paramètres de stratégie appliqués et les fichiers automatiquement chargés une fois que la modification entre en vigueur.

L’outil Modélisation de la stratégie de groupe est très utile aux administrateurs, car il leur permet de tester de manière exhaustive l’impact de changements apportés à la stratégie avant de les implémenter sur tout le réseau.
Nouveaux paramètres de stratégie Windows Server 2003 apporte quelque 150 nouveaux paramètres de stratégie, qui permettent de personnaliser et de contrôler le comportement du système d’exploitation pour des groupes d’utilisateurs. Ces nouveaux paramètres ont un impact sur différentes fonctionnalités, notamment le signalement des erreurs, les services Terminal Server, les connexions réseau et d’accès à distance, les services DNS, les demandes d’ouverture de session réseau, la Stratégie de groupe et les profils itinérants.
Modèles d’administration pour l’affichage Web Cette fonction améliore le composant logiciel enfichable d’extension Modèles d’administration de la stratégie de groupe en permettant d’afficher des informations détaillées sur les différents paramètres de stratégie disponibles. Lorsque vous sélectionnez un paramètre de stratégie, des informations détaillant le comportement du paramètre et les endroits où il est utilisé s’affichent dans une vue Web dans l’interface utilisateur Modèles d’administration. Vous pouvez également accéder à ces informations sous l’onglet Expliquer de la page Propriété de chaque paramètre.
Gestion des clients DNS Les administrateurs peuvent configurer les paramètres des clients DNS sous Windows Server 2003 à l’aide de l’outil Stratégie de groupe. Cette fonctionnalité simplifie la procédure de configuration des membres de domaine lors de la définition des paramètres de clients DNS, notamment l’activation et la désactivation de l’enregistrement dynamique des enregistrements DNS par les clients. Pour ce faire, elle fait appel à la dévolution du suffixe DNS principal au cours de la résolution de noms et elle remplit les listes de recherche de suffixes DNS.
Redirection du dossier Mes documents Les administrateurs peuvent utiliser cette fonction pour faire passer les utilisateurs d’un déploiement hérité de répertoires de base vers un modèle reposant sur un dossier Mes documents tout en conservant la compatibilité avec l’environnement hérité.
Installation complète des applications attribuées aux utilisateurs à l’ouverture de session L’éditeur de déploiement d’applications comporte une nouvelle option permettant d’installer entièrement une application attribuée aux utilisateurs à l’ouverture de session plutôt que sur demande. Les administrateurs peuvent s’assurer que les logiciels appropriés sont installés automatiquement sur les postes des utilisateurs.
Netlogon Cette fonction permet de configurer les paramètres Netlogon sur les ordinateurs Windows Server 2003 à l’aide de l’outil Stratégie de groupe. Elle simplifie la procédure à suivre pour configurer les membres de domaine lors de la définition des paramètres Netlogon, notamment l’activation et la désactivation de l’enregistrement dynamique des enregistrements DNS particuliers du localisateur de contrôleurs de domaine par les contrôleurs de domaine, la fréquence d’actualisation de ces enregistrements, l’activation et la désactivation du recouvrement de site automatique et bon nombre d’autres paramètres Netlogon courants.

Connexions réseau et d’accès à distance

 L’accès aux interfaces utilisateur de la configuration réseau sous Windows Server 2003 peut être accordé (ou limité) à des utilisateurs particuliers par l’intermédiaire d’une stratégie de groupe.
Stratégies d’événements distribués L’infrastructure des événements WMI a été développée pour pouvoir fonctionner dans un environnement distribué. Les améliorations portent sur des composants qui permettent de configurer l’abonnement, le filtrage, la corrélation, l’agrégation et le transfert des événements WMI. Un éditeur de logiciels (ISV) peut activer des fonctions d’analyse de l’état, de consignation des événements, de notification, de récupération automatique et de facturation en faisant appel à une interface utilisateur supplémentaire et en définissant un type de stratégie.
Désactivation du Gestionnaire d’informations d’identification Le Gestionnaire d’informations d’identification est une nouvelle fonction de Windows Server 2003 qui facilite l’administration des informations d’identification des utilisateurs. La stratégie de groupe vous permet de désactiver le Gestionnaire d’informations d’identification.
URL de support technique pour le déploiement de logiciels Cette fonction permet de modifier et d’ajouter une URL de support technique pour les logiciels. Lorsque l’application apparaît dans le Panneau de configuration Ajout/Suppression de programmes sur les ordinateurs cibles, l’utilisateur peut sélectionner cette URL pour être dirigé vers une page Web d’assistance. Cette fonction peut aider à réduire le nombre d’appels reçus par le support technique ou l’équipe d’assistance.
Filtrage WMI WMI (Windows Management Instrumentation) met à la disposition d’un ordinateur cible un grand volume de données, telles que l’inventaire du matériel et des logiciels, des paramètres et des informations de configuration. Il récupère des données du Registre, des pilotes, du système de fichiers, de Active Directory, du protocole SNMP (Simple Network Management Protocol), du service Windows Installer, de SQL (Structured Query Language), de la mise en réseau et de Exchange Server. Le filtrage WMI sous Windows Server 2003 vous permet de déterminer de façon dynamique s’il faut appliquer un objet de stratégie de groupe (GPO) en fonction des résultats d’une requête de données WMI. Ces requêtes (aussi appelées "filtres WMI") déterminent les utilisateurs et les ordinateurs qui reçoivent les paramètres de stratégie configurés dans l’objet GPO dans lequel vous créez le filtre. Cette fonctionnalité vous permet de cibler de façon dynamique la stratégie de groupe en fonction des propriétés de l’ordinateur local.

Considérons l’exemple suivant : il existe un objet GPO attribuant Office XP aux utilisateurs appartenant à une unité organisationnelle donnée. Cependant, les administrateurs ne savent pas si tous les bureaux anciens de cette unité organisationnelle disposent de suffisamment d’espace disque pour ces logiciels. Dans ce cas, un filtre WMI peut être utilisé en conjonction avec l’objet GPO pour attribuer uniquement Office XP aux utilisateurs dont le bureau possède plus de 400 mégaoctets (Mo) d’espace disque libre.
Terminal Server Les administrateurs peuvent utiliser l’outil Stratégie de groupe pour gérer le mode de fonctionnement d’un poste Terminal Server, notamment les fonctions de redirection, l’accès par mot de passe et les paramètres de papier peint.

Améliorations de la sécurité de Active Directory

Dans la famille Windows Server 2003, des fonctions de sécurité ont été ajoutées à Active Directory pour simplifier la gestion de plusieurs forêts et approbations entre domaines. Parallèlement, le nouveau gestionnaire d’informations d’identification assure le stockage sécurisé des informations d’identification des utilisateurs et des certificats X.509.

Gestion de la sécurité avec des approbations de forêt      

Les approbations de forêt sont un nouveau type d’approbation Windows permettant de gérer les relations de sécurité entre deux forêts. Cette fonction simplifie considérablement l’administration de la sécurité entre forêts et permet à la forêt d’approbation d’appliquer des contraintes sur les noms principaux de sécurité que les autres forêts peuvent authentifier. Cette fonction inclut notamment les éléments suivants :

Approbation de forêt

  • Il s’agit d’un nouveau type d’approbation qui autorise les domaines d’une forêt à approuver (transitivement) tous les domaines d’une autre forêt par l’intermédiaire d’une relation d’approbation entre les domaines racines de deux forêts.

  • À partir de trois forêts, l’approbation de forêt n’est pas transitive au niveau des forêts. Si la forêt A approuve la forêt B et que la forêt B approuve la forêt C, aucune relation d’approbation ne se crée entre les forêts A et C.

  • Les approbations de forêt peuvent être unidirectionnelles ou bidirectionnelles.

Gestion des approbations

  • Un nouvel Assistant simplifie la création de tous les types de relations d’approbation, tout particulièrement les approbations de forêt.

  • Une nouvelle page de propriété vous permet de gérer les espaces de noms approuvés associés aux approbations de forêt.

Espaces de noms approuvés

  • Les espaces de noms approuvés servent à acheminer les demandes d’authentification et d’autorisation pour les entités de sécurité dont les comptes sont conservés dans une forêt approuvée.

  • Les espaces de noms des domaines, des noms d’utilisateur principaux (UPN), des noms de service principaux (SPN) et des identificateurs de sécurité (SID) qu’une forêt publie sont automatiquement recueillis lors de la création d’une approbation de forêt et actualisés par l’interface utilisateur Domaines et approbations Active Directory.

  • Une forêt est approuvée en tant que référence pour les espaces de noms qu’elle publie en suivant la règle du "premier arrivé, premier servi", à condition que ces espaces de noms n’entrent pas en conflit avec des espaces de noms approuvés établis par des relations d’approbation de forêts existantes.

Les espaces de noms qui se chevauchent sont automatiquement interdits. Les administrateurs peuvent également désactiver manuellement les espaces de noms approuvés.

Autres fonctions et améliorations en matière de sécurité

Fonction

Description
Authentification entre forêts L’authentification entre forêts assure un accès sécurisé aux ressources lorsque le compte d’utilisateur et le compte d’ordinateur se trouvent dans des forêts différentes. Cette fonction permet aux utilisateurs d’accéder en toute sécurité aux ressources figurant dans d’autres forêts à l’aide de Kerberos ou NTLM, sans pour autant perdre les avantages en matière de signature unique et d’administration qu’apportent un ID d’utilisateur et un mot de passe uniques administrés dans la forêt de l’utilisateur. L’authentification entre forêts comprend notamment les fonctions suivantes :

Résolution de noms

  • Lorsque Kerberos et NTLM ne parviennent pas à résoudre un nom principal sur le contrôleur de domaine local, ils appellent un catalogue global.

  • Lorsque le catalogue global ne parvient pas à résoudre le nom, il appelle une nouvelle fonction de correspondance de noms entre forêts.

  • La fonction de correspondance de noms compare le nom de sécurité principal aux espaces de noms approuvés de toutes les forêts approuvées. Si elle détecte une correspondance, elle renvoie le nom de la forêt approuvée en tant que suggestion d’itinéraire.

Routage des demandes

  • Kerberos et NTLM utilisent les suggestions d’itinéraire pour acheminer les demandes d’authentification par le chemin d’approbation allant du domaine d’où la demande provient au domaine cible potentiel.

  • Dans le cas de Kerberos, les centres de distribution de clés génèrent des références qui suivent le chemin d’approbation et le client les suit de la manière Kerberos standard.

  • Dans le cas de NTLM, les contrôleurs de domaine font successivement passer la demande à travers des canaux sécurisés qui suivent le chemin d’approbation, en se servant de l’authentification directe.

Authentification prise en charge

  • Ouverture de session réseau Kerberos et NTLM pour accéder à distance à un serveur dans une autre forêt

  • Ouverture de session interactive Kerberos et NTLM pour une ouverture de session physique en dehors de la forêt de l’utilisateur

  • Délégation Kerberos à une application multiniveau dans une autre forêt

  • Prise en charge intégrale des informations d’identification des noms d’utilisateur principaux (UPN)
Autorisation entre forêts L’autorisation entre forêts permet aux administrateurs de sélectionner facilement les utilisateurs et les groupes des forêts approuvées pour les inclure dans des groupes locaux ou des listes de contrôle d’accès. Cette fonction conserve l’intégrité de la frontière de sécurité des forêts en autorisant les approbations entre forêts. Elle permet à la forêt d’approbation d’appliquer des contraintes sur les identificateurs de sécurité (SID) acceptés lorsque des utilisateurs de forêts approuvées tentent d’accéder à des ressources protégées.

Gestion des appartenances aux groupes et des listes de contrôle d’accès (ACL)

  • Le sélecteur d’objet a été amélioré pour prendre en charge une sélection de noms d’utilisateur ou de groupe issue d’une forêt approuvée.

  • Il est nécessaire d’entrer les noms en entier. L’énumération et les recherches utilisant des caractères génériques ne sont pas prises en charge.

Conversion nom-SID

  • Le sélecteur d’objet et l’éditeur des listes de contrôle d’accès font appel à des API système pour stocker les SID dans des entrées de membres de groupe et d’ACL et les reconvertir en noms conviviaux à des fins d’affichage.

  • Les API de conversion nom-SID font désormais appel à des suggestions d’itinéraire entre forêts et exploitent les canaux sécurisés NTLM entre les contrôleurs de domaine se trouvant le long du chemin d’approbation pour résoudre les noms de sécurité principaux ou les SID provenant de forêts approuvées.

Filtrage des SID

  • Les SID sont filtrés lorsque des données d’autorisation passent du domaine racine de la forêt approuvée à celui de la forêt d’approbation. La forêt d’approbation accepte uniquement les SID qui se rapportent aux domaines dont elle a approuvé la gestion par l’autre forêt. Tous les autres SID sont automatiquement rejetés.

Le filtrage des SID s’applique automatiquement à l’authentification Kerberos et NTLM, ainsi qu’à la conversion nom-SID.
Amélioration des certificats croisés La fonction de certificats croisés des clients Windows Server 2003 a été améliorée pour autoriser les certificats croisés au niveau des services et au niveau global. Par exemple, WinLogon peut désormais demander des certificats croisés et les télécharger dans "la banque de l’entreprise/des approbations de l’entreprise". Tous les certificats croisés sont téléchargés à mesure de l’élaboration de la chaîne.
Service IAS et authentification entre forêts Si les forêts Active Directory sont en mode entre forêts avec des approbations bidirectionnelles, le serveur IAS/RADIUS (Internet Authentication Service/Remote Authentication Dial-In User Server) peut se servir de cette fonction pour authentifier le compte d’utilisateur dans l’autre forêt. Ceci permet aux administrateurs d’intégrer facilement les nouvelles forêts aux services IAS/RADIUS existants dans leur forêt.
Gestionnaire d’informations d’identification Le Gestionnaire d’informations d’identification assure le stockage sécurisé des informations d’identification des utilisateurs, notamment des mots de passe et des certificats X.509. Cette fonction permet d’offrir aux utilisateurs, y compris aux utilisateurs itinérants, un processus de signature unique uniforme. Par exemple, lorsqu’un utilisateur accède à une application professionnelle sur le réseau de l’entreprise, la première tentative d’accès à cette application nécessite de s’authentifier. L’utilisateur est donc invité à indiquer des informations d’identification. Une fois qu’il les a fournies, ces informations sont associées à l’application qui les a demandées. Lors des prochaines demandes d’accès à cette application, les informations d’identification enregistrées seront réutilisées sans que l’utilisateur ne soit invité à les entrer de nouveau.

Résumé

En se fondant sur les acquis de Windows 2000, le service Active Directory de Windows Server 2003 met l’accent sur la gestion simplifiée, la polyvalence et une fiabilité sans égal. Plus que jamais, Active Directory est devenu la clé de voûte de la création des réseaux d’entreprise grâce à ses fonctionnalités inégalées. Il permet de :

  • tirer parti des investissements existants et de la gestion de consolidation des annuaires ;

  • étendre le contrôle administratif et réduire les tâches de gestion redondantes ;

  • simplifier l’intégration à distance et utiliser les ressources réseau plus efficacement ;

  • fournir un environnement de développement et de déploiement solide pour les applications d’annuaire ;

  • réduire le coût de possession total et tirer parti des ressources informatiques disponibles.

Ce document est une première version qui peut faire l’objet de profondes modifications avant la commercialisation finale du logiciel décrit ici.
Les informations contenues dans ce document représentent le point de vue actuel de Microsoft Corporation sur les points cités à la date de publication. Microsoft s’adapte aux conditions fluctuantes du marché et cette opinion ne doit pas être interprétée comme un engagement de la part de Microsoft. En outre, Microsoft ne garantit pas la véracité des informations présentées après la date de publication.
Ce document est publié à des fins purement informatives. MICROSOFT EXCLUT TOUTE GARANTIE, EXPRESSE OU IMPLICITE, QUANT AUX INFORMATIONS CONTENUES DANS CE DOCUMENT.
L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits issus des droits d'auteur, aucune partie de ce document ne peut être reproduite, stockée ou incluse dans un système de récupération de données ou transmise, à quelque fin ou par quelque moyen que ce soit, (électronique, mécanique, photocopie, enregistrement ou autre) sans la permission expresse et écrite de Microsoft Corporation.
Les produits mentionnés dans ce document peuvent faire l’objet de brevets, de dépôts de brevets en cours, de marques, de droits d’auteur ou d’autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d’un contrat de licence écrit de Microsoft, la fourniture de ce document n’a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d’auteur ou autres droits de propriété intellectuelle.
Microsoft, Active Directory, IntelliMirror, Visual Basic, Visual C++, Windows et Windows NT sont soit des marques commerciales, soit des marques déposées de Microsoft Corporation aux États-Unis et/ou dans d’autres pays.
Les noms de produits et de sociétés réels mentionnés dans la présente documentation sont des marques de leurs propriétaires respectifs.

Dernière mise à jour le vendredi 22 août 2003

Pour en savoir plus