> Tech > Fusionner les domaines NT 4.0

Fusionner les domaines NT 4.0

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Stephen Downes et Pat Telford - Mis en ligne le 17/06/2002
Si vous devez recréer 10.000 comptes utilisateur, modifier 8.000 stations de travail sur 30 sites, et reconstruire 200 serveurs sans que les utilisateurs en tirent un avantage immédiat, ce que vous pouvez espérer de mieux est qu'ils s'aperçoivent à  peine que vous avez fait quelque chose. Bienvenue dans le monde ingrat de l'intégration d'infrastructure ...

Peu d'entreprises ont un environnement limité un seul domaine à  partir duquel elles peuvent facilement migrer vers une implémentation Windows 2000 de type forêt unique/ domaine unique propre et nette. Les acquisitions d'entreprise, les contraintes de bande passante, les exigences administratives, et la politique laissent souvent un micmac de domaines et de relations de confiance. Le plus souvent, par conséquent, la première étape du passage à  Win2K est un sousprojet chargé de fusionner les domaines NT 4.0 Windows existants et d'éliminer les désordres qui se sont accumulés en chemin. Nous sommes passés par ce cycle de migration et pouvons vous guider au travers de quelques écueils de l'intégration de domaines, avec quelques techniques utiles pour perturber le moins possible les utilisateurs.

Les principes à  appliquer pour une bonne fusion de domaines NT 4.0 sont pratiquement les mêmes que ceux d'une migration de NT 4.0 à  Win2K. Donc, endossez la cape de l'homme invisible et commencez la fusion.

Fusionner les domaines NT 4.0

Dans NT 4.0, on ne peut pas simplement
déplacer un compte utilisateur
d’un domaine dans un autre. Chaque
compte utilisateur, groupe global,
groupe local, et station de travail dans
le domaine a un numéro unique, appelé
SID, lié au domaine. Un SID est
constitué d’un préfixe commun pour
l’ensemble du domaine, suivi d’un suffixe
unique pour le compte, appelé RID (Relative Identifier). Comme les
comptes sont associés à  un domaine
particulier, on ne peut pas les déplacer
entre domaines. Pour changer de domaine,
il faut recréer à  partir de zéro
dans le domaine cible, chacun des
comptes utilisateur, comptes de
groupe et comptes d’ordinateur du
domaine source. Ces nouveaux
comptes doivent conserver les propriétés
des comptes d’origine.

Win2K et la sécurité NT 4.0 utilisent
le SID d’un compte plutôt que son
nom. On trouvera des références aux
SID dans les entrées ACL. Le type
d’ACL le plus visible est la liste des autorisations
appliquées à  un fichier ou à 
un dossier, mais les SID apparaissent
aussi ailleurs. L’encadré « Savez-vous
où se trouvent vos SID ? » fournit la liste des emplacements de références SID.

Malheureusement, la prolifération
des SID fait que chacun de vos domaines
NT a probablement des centaines
de milliers, voire des millions de
références SID. Et, bien entendu, il faut
ajouter les mêmes autorisations pour
chaque compte nouvellement créé (et
chaque nouveau SID) dans le domaine
fusionné à  chaque ACL sur lequel le
SID de l’ancien compte apparaissait. Il
faut donc un outil pour traiter les références
SID dans votre domaine pendant
la migration. Nous verrons les outils
de migration plus loin dans cet
article.

Téléchargez cette ressource

Livre blanc Sécurité et Stockage des documents

Livre blanc Sécurité et Stockage des documents

Découvrez dans ce livre blanc Kyocera les outils logiciels qui permettent une approche holistique et efficace de la collecte, du stockage, de la gestion et de la sécurisation des documents en entreprise.

Tech - Par iTPro.fr - Publié le 24 juin 2010