Eclairez votre propre piste

L'encadré « Pour en savoir plus sur la délégation d'AD » offre des ressources qui expliquent la délégation d'AD plus en détail, mais le sujet est encore un territoire très peu exploré. Il ne faudrait pas que le fait d'être pratiquement livré à  vous-même vous gêne. Je vous conseille d'utiliser

Explorer la délégation de gestion de site (2)

Vous pouvez n'accorder le contrôle complet que sur un site en descendant d'un niveau de plus dans le snap-in et en définissant la sécurité sur un site spécifique. Mais il vous faudra aussi probablement attribuer des droits sur le conteneur Subnets (les sites n'ont aucune signification tant qu'ils ne sont

Explorer la délégation de gestion de site

Jusqu'ici, notre discussion sur la délégation s'est limitée à  la partie la plus visible d'AD : le contexte de nommage d'un domaine. Il contient les utilisateurs, groupes, comptes ordinateur et les OU. Toutefois, AD a deux autres contextes de nommage importants mais moins visibles : le contexte de nommage de

Définir un mode de délégation centralisé (2)

Quand vous créez chaque OU, créez une sous-OU appelé OU Admin. Dans l'OU Admin, créez un groupe local de domaine pour chacun des rôles que vous avez définis, préfixez avec le code de site de l'OU. Dans notre OU Admin New York, par exemple, j'ai créé des groupes appelés NY-OUMgr,

Définir un mode de délégation centralisé

A présent que vous avez l'information essentielle et un exemple de solution, voyons comment vous pourriez définir votre modèle de délégation. La nature de la délégation fait qu'il est essentiel d'avoir un modèle bien défini. Considérons que les Domain Administrators peuvent déléguer le contrôle sur des portions du répertoire à 

Déplacer des objets vers des OU différentes

Un droit administratif important que l'on peut déléguer est celui de faire entrer et sortir des objets des OU. Mais il faut veiller à  déléguer ce droit sans compromettre la sécurité. Avec AD, il faut avoir des permissions de suppression pour faire entrer et sortir un objet d'une OU. Pour

Déléguer les droits Account Options (3)

Revenez au snap-in Active Directory Users and Computers et faites un clic droit sur l'OU (organizational unit) contenant les objets utilisateur que votre delp desk administrera. Cliquez sur l'onglet Security puis sur Advanced, New. La boîte de dialogue vous invite à  entrer ou à  défiler jusqu'au compte d'utilisateur ou de

Déléguer les droits Account Options (2)

Nous verrons ensemble comment déléguer la possibilité de forcer les changements de mots de passe (que je n'ai trouvé documentée nulle part ailleurs). Cette explication servira également de première en délégation d'AD pour ceux d'entre vous non familiarisés avec la délégation en général. Vous effectuez généralement les tâches de délégation

Déléguer les droits Account Options

Après avoir lancé le snap-in Active Directory Users and Computers de MMC (Microsoft Management Console), sélectionnez un utilisateur donné et cliquez sur l'onglet Accounts. Vous voyez la section Account options, qui contient une liste de 10 options avec des cases à  cocher. Les deux premières options sont User must change

Composants d’état du système

Windows 2000 a introduit le concept de composants d'état du système, un ensemble de composants système interdépendants que l'on sauvegarde et restaure comme une seule entité. Les composants d'état du système sur un DC (domain controller) Win2K comprennent ce qui suit :

• AD. Les fichiers physiques qui constituent AD

Ressources de reprise d’AD

ARTICLES MICROSOFT :

« The Active Directory Database Garbage Collection Process »
(http://support.microsoft.com/default.aspx?scid=kb;en-us;q198793)

« Performing Offline Defragmentation of the Active Directory Database »
(http://support.microsoft.com/default.aspx?scid=kb;en-us;q232122)

Le bogue de la sauvegarde d’AD (3)

Vous pouvez éviter ces problèmes en installant SP2 et en faisant de nouvelles sauvegardes de l'état du système. La correction est préventive par nature - elle ne résout pas les erreurs qui s'étaient déjà  produites quand vous avez restauré des sauvegardes d'état du système avec une information d'en-tête incorrecte. Si

Le bogue de la sauvegarde d’AD (2)

On est là  au coeur du problème : le système écrit un enregistrement périmé des fichiers log de transactions requis et des données de point de contrôle sur le média de sauvegarde, lequel le restaure ultérieurement sous la forme de la seconde sauvegarde. Lors de la restauration, l'en-tête dans la

Le bogue de la sauvegarde d’AD

Comme je l'ai indiqué pour la première fois dans l'article « The AD Backup Bug: Microsoft Comes Clean », il existe un défaut important dans les API de sauvegarde et de restauration de Windows 2000 dans les versions antérieures à  Service Pack 2 (SP2). Dans certaines circonstances, ce bogue corrompt

Défragmentation d’AD (2)

Bien qu'elle ne soit pas obligatoire, la défragmentation régulière de la base de données AD sur vos DC peut contribuer à  réduire la taille des fichiers base de données AD et, en définitive, à  améliorer la performance et la disponibilité des répertoires. Comme la défragmentation online vérifie aussi quelque peu

Défragmentation d’AD

Outre les activités de supervision proactive, de dépannage et d'analyse et de gestion du changement, songez à  effectuer de temps à  autres des défragmentations d'AD offline pour garantir la disponibilité de vos services de répertoires. La défragmentation peut se produire online ou offline. Par défaut, la défragmentation online s'effectue automatiquement

Sauvegarde d’AD (3)

Troisièmement, assurez-vous que les sauvegardes de votre DC incluent au moins l'état du système, le contenu du disque système, et le dossier sysvol (s'il ne se trouve pas sur le disque système). Comme je l'ai expliqué auparavant, l'état du système inclut de nombreux fichiers et paramètres clé pour restaurer un

Sauvegarde d’AD (2)

Il faut connaître quelques caractéristiques et contraintes des sauvegardes AD. Tout d'abord, ces dernières ont une sorte de « date de fraîcheur ». Quand vous supprimez un objet AD, le DC d'où il a été supprimé crée une pierre tombale de l'objet, pour informer les autres DC de la suppression.

Sauvegarde d’AD

En matière de reprise après sinistre, la préparation est primordiale. C'est pourquoi la compréhension des modalités de sauvegarde d'AD et la mise en oeuvre d'un régime de sauvegarde robuste sont des points vitaux dans tout plan antisinistre.

Comme AD est une base de données répliquée, il peut connaître les mêmes

Le processus de synchronisation (2)

Quand un dossier partagé contient des sous-dossiers partagés, et que ceux-ci contiennent des fichiers que les utilisateurs peuvent utiliser offline, le processus de synchronisation de l'ordinateur local ignore ces sous-dossiers. Pour permettre leur synchronisation, il faut valider une Group Policy locale.

Ouvrez une nouvelle console MMC (Microsoft Management Console) puis