> Tech > Des pistes pour mettre à  niveau AD à  Windows Server 2003

Des pistes pour mettre à  niveau AD à  Windows Server 2003

Tech - Par Sean Deuby - Publié le 24 juin 2010
email

Une fois qu'on a bien saisi tous les détails, l'intérêt pratique apparaît; Parfois ce sont les améliorations les plus simples d’un produit qui procurent les plus grands avantages. C’est le cas de Windows Server 2003. Les améliorations de l’OS par rapport à Windows 2000 Server sont suffisamment notables pour justifier votre temps et votre attention, de la planification au déploiement. C’est particulièrement vrai dans des entreprises qui possèdent une vaste forêt d’AD (Active Directory). Là, de petites améliorations apportées à l’AD d’entreprise peuvent avoir un large impact général. Il n’en reste pas moins que le passage de l’infrastructure AD à Windows 2003, s’il procure des avantages indéniables, est un chantier d’envergure. Avant de vous lancer, il vous faudra probablement démontrer à la direction que le jeu en vaut la chandelle.

Heureusement Windows 2003 permet cela très facilement et je peux vous montrer pourquoi et comment. Ensuite, après avoir plaidé votre cause avec succès et quand vous serez en pleine planification de la mise à niveau, il vous faudra prendre en compte quelques points importants non couverts dans la documentation Microsoft.

Un programme de mise à niveau n’est intéressant que si l’on est vraiment payé de son travail. En passant en revue toutes les améliorations et nouvelles fonctions de Windows 2003, concentrez-vous sur celles qui apportent le plus gros retour sur investissement (ROI). Windows 2003 ne devrait pas être difficile à vendre parce que plusieurs de ses fonctions et améliorations sont immédiatement bénéfiques. Cependant, d’après mon expérience, ce ne sont pas forcément ces améliorations qui semblent les plus intéressantes au premier coup d’oeil. Sachez aussi que la réduction de coût due à certaines améliorations peut ne se manifester qu’après que l’on ait progressé dans la mise à niveau. Voici quelques-uns des arguments de gestion les plus importants pour le passage à Windows 2003.

Stockage à une seule instance. La fonction susceptible d’avoir l’impact le plus immédiat sur une vaste infrastructure de DC ne figure dans aucune guide de fonctions ni sur l’aide propre au serveur, et elle est à peine mentionnée dans l’article Microsoft« How to upgrade Windows 2000 domain controllers to Windows Server 2003 » sur http://support.microsoft.com/?kbid=325379 . C’est le stockage à une seule instance qui améliore la manière dont l’AD applique aux objet les permissions héritées. Dans Win2K, quand on ajoute une entrée de contrôle d’accès (ACE, access control entry) à un conteneur et que l’on précise que l’AC s’applique à cet objet conteneur et à tous ses objets enfants, l’AD ajoute l’ACE à tous les objets.

Comme chaque ajout d’ACE fait grossir quelque peu le descripteur de sécurité de chaque objet, l’effet cumulé est la croissance de Ntds.dit (le fichier base de données d’AD réel). Dans le pire des cas, un ou plusieurs ACE héritables du conteneur sont appliqués au sommet de la hiérarchie logique d’AD (c’est-à-dire, les « têtes de domaines ») et tous les objets et conteneurs enfants en héritent. Voici un exemple simple : prenez le groupe qui contient les comptes utilisateur pour les administrateurs d’un domaine et, au lieu de l’ajouter au groupe Domain Admins, octroyez-lui explicitement le contrôle sur DC=yourcompany,DC=com et précisez que les nouvelles permissions s’appliquent à cet objet et à tous les objets enfants. Le résultat ? Le besoin de stockage pour chaque objet dans DC=yourcompany,DC=com augmente un peu, et ces augmentations s’ajoutent, entraînant la croissance de Ntds.dit.

Dans Windows 2003, le stockage à instance unique examine les permissions pour les objets existants dans l’AD et leur applique un mécanisme de référence plus efficace. Il en résulte une augmentation de l’espace libre dans Ntds.dit. En fait, comme le stockage a une seule instance est mis en oeuvre en arrière-plan quand un DC Win2K mis à niveau démarre pour la première fois l’OS Windows 2003, la portion active de la base de données peut se réduire de jusqu’à 40 %. (Signalons au passage que pour obtenir l’augmentation d’espace disque libre rendue possible par le stockage à une seule instance, il faut procéder à une défragmentation offline de la base d’AD. Pour plus d’informations sur ce genre de défragmentation, voir l’article Microsoft « Performing Offline Defragmentation of the Active Directory Batabase » à http://support.microsoft.com/?kbid=232122.) Vous ne tirerez pas avantage d’un Ntds.dit plus petit si le fichier n’est pas en train d’accaparer l’espace libre sur votre disque dur. Mais si Windows 2003 réduit la taille du fichier base de données (le DC optimise la taille quotidiennement), les lignes de base de données, plus petites et plus efficaces, dans Ntds.dit, font que la base de données fonctionne plus efficacement, avec moins de données à charger en mémoire. Ce surcroît d’efficacité se traduit par davantage d’espace disque sans qu’il soit nécessaire d’en acheter.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Sean Deuby - Publié le 24 juin 2010