par Alain Lissoir - Mis en ligne le 11/05/2005 - Publié en Mai 2004
Windows 2003 simplifie le processus
Une extension de schéma d'AD (Active Directory) ajoute une classe ou un attribut
au schéma de base (c'est-à -dire, la version du schéma qui accompagne
Windows Server 2003 ou Windows 2000 Server). L'extension du schéma Win2K a
toujours exigé une planification rigoureuse parce que Microsoft ne supporte aucune
méthode pour supprimer des objets du schéma ...Cette limitation a souvent dissuadé les entreprises qui auraient
aimé utiliser AD pour stocker des informations à caractère interne.
Toutefois, on peut désactiver certaines
classes et attributs dans Win2K. Mieux encore,
Windows 2003 permet de désactiver
la définition d'une extension afin que cette
dernière semble disparaître de l'AD. Après
quoi on pourra réutiliser des éléments
(IDAPDisplayName, ObjectIdentifier - OID,
par exemple) à partir de l'extension désactivée.
Cependant, la désactivation d'une extension
de schéma d'AD exige le même soin et la même planification que la
création d'une extension. Il faut
prendre en compte plusieurs facteurs,
y compris la raison pour laquelle vous
voulez désactiver l'extension, la
conception originale et l'implémentation
de l'extension, quelle version
d'AD vous utilisez (c'est-à -dire, Windows
2003 ou Win2K) et en quel mode
(on dit aussi niveau fonctionnel) vous
utilisez AD. (Dans Windows 2003, les
niveaux fonctionnels du domaine et de
la forêt déterminent les fonctions AD
disponibles. Le niveau fonctionnel dépend
des OS sur lesquels vos DC (domain
controllers) fonctionnent. Vous
ne pouvez configurer le niveau fonctionnel
de la forêt Windows Server
2003 que quand tous les DC d'une forêt
utilisent Windows 2003. Ce niveau
vous donne accès aux fonctions AD les
plus nouvelles. (Pour plus d'informations
sur les niveaux fonctionnels, voir
l'article Microsoft « HOW TO: Raise
Domain and Forest Functional Levels
in Windows Server 2003 », http://
support.microsoft.com/?kbid=322
692.). Après avoir déterminé les ramifications
et complications dues à la
désactivation de l'extension, vous pouvez
utiliser ADSI Edit, le snap-in
Microsoft Management Console
(MMC) Active Directory Schema
(schmmgmt.dll), un fichier LDIF
(Data Interchange Format) LDAP
(Lightweight Directory Access
Protocol), ou un script pour exécuter
la tâche.
Avant de poursuivre la lecture de
cet article, il faut bien comprendre le
principe de fonctionnement du
schéma. Pour en savoir plus sur les
schémas: terminologie, mécanisme et
création des extensions, voir l'article « Faites le grand saut en étendant le
schéma AD » Janvier 2002 ou www.itpro.
fr .
Désactiver les extensions de schémas
Avant de désactiver une extension de
schéma, vous devez vous en demander
la raison. En principe, vous fonderez
votre décision sur l’une des trois raisons
possibles expliquées dans l’encadré
« Raisons de la désactivation ». La
raison déterminera le niveau de difficulté
et donc l’importance du planning
qui vous attend.
Deuxièmement, vous devez bien
comprendre la conception et la mise
en oeuvre de l’extension que vous voulez
désactiver. Faites très attention aux
divers liens objet classSchema et
attributSchema que l’extension implique.
Comme les définitions d’objet
classSchema et attributSchema de
l’extension de schéma se réfèrent
l’une à l’autre (c’est-à -dire qu’un ensemble
d’attributs est toujours associé
à une certaine classe), vous devez délier
ces objets avant de pouvoir désactiver
la définition d’objet schéma de
l’extension de schéma.
Troisièmement, considérez soigneusement
l’information utilisée
pour créer l’extension de schéma. Si
vous envisagez de recréer une version
mise à jour de l’extension, sachez que,
selon l’OS et le mode sous lequel AD
opère, certaines informations ne seront
pas réutilisables même après
désactivation de l’extension
originale . Le tableau Web 1
(http://www. itpro.fr Club Abonnés)
énumère plusieurs attributs class-
Schema qui sont souvent impliqués
dans la création d’un nouvel objet
classSchema (c’est-à -dire, une nouvelle
classe) et qui pourraient ne pas
être réutilisables. Le tableau Web 2
donne la liste des attributs qui sont
souvent impliqués dans la création
d’un nouvel objet attributeSchema
(c’est-à -dire, un nouvel attribut) et qui
pourrait ne pas être réutilisable.
Plusieurs outils permettent d’examiner
les extensions de schéma existantes
et de recueillir ces types d’informations.
Outre ADSI Edit, le
snap-in Active Directory Schema, et
LDP (sous Support Tools de Windows
2003), vous pouvez utiliser le programme
Schema Documentation de
Microsoft qui est disponible à http://
msdn.microsoft.com/library/en-us/
dnactdir/html/schemadoc.asp. Ce
programme peu connu, qui supporte
les serveurs Windows 2003 ou Win2K,
extrait une extension de schéma vers
un fichier .xml ; ensuite, vous pouvez
examiner l’extension dans un éditeur
XML quelconque.
Téléchargez cette ressource
Guide de réponse aux incidents de cybersécurité
Le National Institute of Standards and Technology (NIST) propose un guide complet pour mettre en place un plan de réponse aux incidents de cybersécurité, nous en avons extrait et détaillé les points essentiels dans ce guide. Découvrez les 6 étapes clés d'un plan de réponse efficace aux incidents de cybersécurité.
