AD

et les
BDC n’utilisaient que la duplication one-to-many. Dans Windows 2000, un domaine
AD peut contenir un million d’objets et ne nécessite pas de BDC.
Les changements enregistrés sur un contrôleur de domaine se dupliquent pour le
reste de l’environnement. Cette duplication multimaître peut être adaptée selon
le cas pour optimiser des performances et protéger la bande passante pour les
organisations dispersées géographiquement. Pour accomplir cette tâche, on fait
appel à  de nouveaux objets AD baptisés sites, qui sont liés aux sous-réseaux IP.
Les sites permettent de distinguer les domaines (respectant généralement les limites
organisationnelles) et les limites géographiques. L’administration est beaucoup
plus puissante avec AD.

Pour commencer, il est possible d’organiser les utilisateurs et les ordinateurs
en une hiérarchie correspondant à  la véritable structure d’une organisation. Dans
un domaine, ce sont les unités d’organisation (UO) qui assurent joue ce rôle.
Les domaines ne sont plus égaux et peuvent avoir des domaines parents et enfants
(sauf pour le domaine racine, qui n’a pas de parent). On peut également attribuer
des privilèges d’administration individuels à  n’importe quel niveau. Windows 2000
permet de remplacer la problématique WINS et de diffuser la résolution des noms
NetBIOS par le DNS dynamique. La base de données DNS peut être stockée dans AD
et adaptée à  la hiérarchie des domaines AD. Si NT 4.0 était en grande partie extensible,
l’annuaire, en revanche, ne l’était pas. Les développeurs étaient obligés de traiter
les propriétés d’utilisateurs spécifiques aux applications et la localisation
des services d’applications.

En revanche avec AD, ils peuvent ajouter de nouveaux objets et de nouvelles propriétés
aux objets existants, au lieu de maintenir un annuaire à  part pour les applications.
(A noter que AD ne convient pas bien au stockage des données qui changent souvent).
AD permet même de publier des ressources, comme des dossiers partagés, de telle
sorte que les utilisateurs n’ont pas besoin de connaître la localisation physique
du serveur. On peut aussi déplacer une application d’un serveur à  l’autre à  l’insu
des utilisateurs.

Grâce à  la granularité de ce contrôle et au support par les domaines Windows 2000
de l’approbation transitive (si le domaine A approuve le domaine B et si B approuve
C, alors A approuve C) les modèles de domaines rudimentaires NT 4.0 (approbation
complète et domaine maître) deviennent inutiles. Ses méthodes d’accès, LDAP et
ADSI (Active Directory Service Interfaces), et sa structure basée sur X.500 donnent
à  AD une architecture ouverte et lui permettent de s’intégrer à  d’autres systèmes
d’exploitation et aux applications prenant en charge les annuaires. Comme le montre
la figure 1, AD a une relation symbiotique avec le reste de l’OS.
Windows 2000 utilise AD comme magasin de données pour les informations sur les
comptes et les stratégies et utilise la hiérarchie de AD pour contrôler le flux
de l’héritage des stratégies. AD compte sur l’OS pour authentifier et contrôler
l’accès aux objets de AD.