L’infrastructure de AD

Administrateurs de
domaine sont toujours là . Les domaines AD n’utilisent cependant plus le standard
de nommage NetBIOS à  15 caractères. Bien que portant des noms NetBIOS pour le
support des versions antérieures, les domaines AD sont reconnus par les périphériques
Windows 2000 sous leurs noms DNS. DNS est le service de nommage par défaut de
Windows 2000 et tous les domaines AD ont un domaine DNS pour les identifier (par
exemple entreprise.com).

Windows NT 4.0 n’accepte que deux niveaux de hiérarchie entre les domaines, car
les relations d’approbation ne sont pas transitives.

Par exemple, supposons trois domaines NT 4.0 – A, B et C. Vous voulez que les
domaines B et C approuvent le domaine A et que le domaine C approuve le domaine
B. Vous pouvez créer une relation d’approbation entre les domaines B et A, et
entre les domaines C et A, mais il vous faut créer une approbation explicite pour
que le domaine C approuve le domaine B. Windows 2000 élimine cette restriction.
L’utilisation par Microsoft de Kerberos 5 comme protocole d’authentification par
défaut de Windows 2000 permet les relations d’approbation bidirectionnelles et
transitives. Vous pouvez donc avoir de nombreux niveaux hiérarchiques de domaines.
Par exemple le domaine A peut approuver le domaine B, qui approuve le domaine
C, etc.

L’utilisation de Kerberos 5 comme protocole d’authentification par défaut
permet les relations d’approbation bidirectionnelles et transitives

Les arborescences et forêts des domaines.
Une arborescence de domaine est un ensemble de domaines qui s’approuvent mutuellement
et appartiennent à  un seul espace de noms contigu (c’est-à -dire une arborescence
d’annuaire dans laquelle chaque domaine est un sous-domaine de son domaine parent).
Pour donner un exemple d’espace de nom contigu imaginons une arborescence de domaine
avec le domaine racine baptisé entreprise.com, ayant un domaine enfant baptisé
ouest.entreprise.com, lui-même avec un sous-domaine enfant du nom de finance.ouest.entreprise.com.

Dans cet exemple, les trois domaines forment un espace de noms contigu et par
conséquent une arborescence de domaine. Une forêt est une arborescence de domaines
ou un ensemble d’arborescences de domaines ayant des espaces de noms contigus
séparés. A la racine de chaque arborescence de domaines, les arborescences sont
liées par des relations d’approbation Kerberos. La figure 1 montre les relations
entre les domaines et les arborescences de domaines dans une forêt AD. Lors de
l’installation du premier contrôleur de domaine dans le premier domaine de la
première arborescence d’un environnement, il faut spécifier si le contrôleur de
domaine appartient à  une forêt existante ou à  une nouvelle forêt. Dans AD, tous
les domaines d’une forêt doivent partager un schéma. Windows 2000 ne permet pas
de fusionner plusieurs forêts ou schémas. Pour créer plusieurs forêts (par exemple
si une entreprise fusionne avec une société possédant déjà  une forêt AD), il faut
utiliser les relations d’approbation non transitives de NT 4.0 pour les lier entre
elles. Une autre solution consiste à  utiliser des outils pour déplacer des objets
d’une forêt à  l’autre. Tant que Microsoft ou un éditeur tiers n’aura pas développé
un outil pour gérer plusieurs forêts dans une entreprise, il faudra maintenir
une seule forêt.

Le Directory Information Tree.Dans NT
4.0, la base de données SAM (Security Accounts Manager) contient toutes les informations
sur les utilisateurs, les ordinateurs et les groupes pour un domaine. La base
de données SAM étant une ruche du Registre, elle se trouve limitée par l’évolutivité
du Registre. Dans les contrôleurs de domaines Windows 2000, le Directory Information
Tree (DIT) ou Arborescence d’informations d’annuaire, remplace le SAM. Le DIT
est basé sur le moteur de base de données Jet de Microsoft et est identique à 
celui qu’utilise Microsoft Exchange Server. Le fichier ntds.dit, qui se trouve
dans le répertoire %systemroot%\ntds, est l’équivalent Windows 2000 du fichier
SAM. C’est lui qui stocke la plupart des données de l’annuaire. En général, le
DIT est plus grand que la SAM car AD contient plus d’informations et de types
d’objets que le service d’annuaire de NT 4.0. Dans un domaine, le contenu du fichier
ntds.dit se duplique dans tous les contrôleurs de domaines. On pourrait s’attendre
à  une recrudescence du trafic de duplication entre les contrôleurs de domaines
en migrant de NT 4.0 à  Windows 2000, mais il n’en est rien car Windows 2000 utilise
un modèle complètement différent pour dupliquer les changements d’annuaires de
NT 4.0. Grâce à  AD, Windows 2000 se distingue de NT 4.0 par plusieurs fonctions
qui facilitent son utilisation dans les grandes entreprises