Grâce à AD, Windows 2000 se distingue de NT 4.0 par plusieurs fonctions qui facilitent
son utilisation dans les grandes entreprises. Ce sont le Catalogue global, les
UO, les groupes étendus, la duplication d'annuaire et une nouvelle structure de
contrôleur de domaine.
Le Catalogue global. Le Catalogue global est
Les fonctions de AD
un nouveau concept de Windows 2000.
C’est un index d’objets à part dans une forêt AD. Par défaut, il contient tous
les objets de la base de données AD complète, mais seulement un sous-ensemble
d’attributs et permet aux utilisateurs de trouver rapidement les objets de l’annuaire
au milieu d’une forêt d’entreprise, sans aller au contrôleur de domaine dans lequel
réside l’objet.
Le Catalogue global est tout particulièrement valable si vous avez plusieurs domaines
et arborescences de domaines répandus à travers un réseau hétérogène, mais il
faut toujours au moins un catalogue sur un réseau pour permettre aux clients de
s’authentifient auprès des domaines AD.
Par défaut, c’est le premier contrôleur de domaine du premier domaine de la première
arborescence de domaines qui devient le serveur Catalogue global. Mais le snap-in
MMC (Microsoft Management Console) pour les sites et services Active Directory
permet de spécifier manuellement d’autres contrôleurs de domaines comme serveurs
de Catalogue global. Bien que la plupart des informations des domaines (par exemple
les utilisateurs, les groupes) ne se dupliquent que dans les contrôleurs de domaines
se trouvant dans le domaine, AD duplique le Catalogue global en dehors des limites
des domaines dans tous les contrôleurs de domaines qui sont des serveurs Catalogue
global.
Lors du déploiement de Windows 2000, il faut veiller à placer soigneusement les
serveurs de Catalogue global. Chaque ordinateur client doit y accéder facilement
afin d’optimiser la capacité de l’ordinateur à faire des recherches dans l’annuaire.
De plus le Catalogue global remplace la Liste d’adresses globale (GAL) dans la
nouvelle version d’Exchange Server.
Les UO.
Les UO permettent de déléguer le contrôle des ressources des domaines Windows
2000. La création d’une UO dans un domaine AD implique la définition d’une limite
d’administration à l’intérieur de laquelle vous pouvez déléguer à un sous-ensemble
d’utilisateurs la gestion des objets contenus dans cette UO. Comme je l’ai dit
plus haut, les UO peuvent contenir d’autres UO ou d’autres objets feuilles, comme
des utilisateurs, des ordinateurs ou des imprimantes. Il est possible d’imbriquer
autant d’UO que l’on veut dans d’autres UO, mais pour des raisons pratiques, il
vaut mieux limiter un domaine à 10 UO imbriquées maximum.
Les unités d’organisation permettent de déléguer le contrôle des ressources
des domaines Windows 2000
L’écran 1 montre un domaine avec trois UO imbriquées. L’UO baptisée US contient
une UO baptisée California, laquelle, à son tour, contient une UO baptisée Finance.
Dans l’UO Finance se trouve un utilisateur baptisé Joe User. Supposons que Joe
User soit l’administrateur local du département Finance en Californie. Vous pouvez
très bien utiliser l’Assistant de délégation de contrôle du snap-in Active Directory
Users and Computers pour déléguer à Joe User le contrôle de l’UO Finance pour
tous les objets contenus dans cette UO. Pour démarrer cet assistant, il suffit
de cliquer avec le bouton droit sur l’UO et de sélectionner Déléguer le contrôle,
puis de sélectionner l’utilisateur ou le groupe auquel on veut déléguer le contrôle
de l’UO et de spécifier les droits qu’auront l’utilisateur ou le groupe sur les
objets de l’UO.
L’écran 2 montre les tâches de délégation prédéfinies pouvant être affectées via
l’assistant. Une autre solution consiste à sélectionner Tâche personnalisée pour
affecter des droits à choisir dans une liste détaillée. Les droits que vous pouvez
affecter correspondent aux ACL (listes de contrôle d’accès) de sécurité pour les
objets de l’UO auxquels vous avez délégué le contrôle. Il est également possible
d’éditer manuellement les ACL d’une UO, d’un utilisateur ou d’un groupe pour affecter
des droits de sécurité individuellement par objet, mais l’Assistant Délégation
de contrôle propose une interface simple pour la délégation de contrôles.
Les groupes Windows 2000. NT 4.0 ne possède que deux groupes : groupe global ou
groupe local, qui servent uniquement à des fins de sécurité (c’est-à -dire pour
attribuer la sécurité aux ressources) et ces groupes ne peuvent contenir que des
objets utilisateurs. Windows 2000 a des groupes globaux et locaux, ainsi qu’un
nouveau groupe de sécurité baptisé groupe universel, mais uniquement disponible
en cas de bascule des domaines AD du mode mixte au mode natif. En mode mixte,
un domaine Windows 2000 peut contenir des contrôleurs de domaines Windows 2000
et des BDC NT 4.0.
En revanche, en mode natif, les domaines ne peuvent pas contenir de BDC NT 4.0.
La bascule en mode natif est une fonction unidirectionnelle : il n’est pas possible
de basculer en arrière. Les groupes universels peuvent contenir des groupes globaux
de n’importe quel domaine de la forêt.
A l’inverse, les groupes globaux sont spécifiques aux domaines, ils ne contiennent
que des utilisateurs ou des ordinateurs d’un même domaine. Ils permettent aussi
d’imbriquer des groupes dans d’autres groupes, exactement comme les listes de
distribution d’Exchange Server.
Windows 2000 permet de créer des groupes non sécurisés baptisés groupes de distribution,
qui fonctionnent comme les listes de distribution : ils n’ont aucun contexte de
sécurité mais permettent de grouper des utilisateurs pour des objectifs comme
la messagerie électronique. Windows 2000 permet aussi de créer des groupes de
sécurité contenant des objets machines, et par conséquent de définir des permissions
sur des ressources au moyen de groupes basés sur des machines plutôt que simplement
sur des utilisateurs.
Duplication d’annuaires. Windows 2000 utilise un nouveau modèle de duplication
garantissant la mise à jour des informations de tous les contrôleurs de domaines
d’une forêt. Ce modèle est basé sur le concept de duplication à multiple domaine
maître. Dans NT 4.0 seul le PDC conserve une copie en lecture-écriture du SAM.
Dans Windows 2000, tout contrôleur de domaine d’un domaine contient une copie
en lecture-écriture du DIT. Les utilisateurs peuvent effectuer des modifications
sur n’importe quel contrôleur du domaine et ces changements se dupliqueront sur
les autres contrôleurs. Ce processus intervient par le biais d’une fonction baptisée
Update Sequence Number (USN). Chaque objet et propriété d’objet de AD contient
un USN et les contrôleurs de domaines s’en servent pour déterminer à quel moment
les changements interviennent sur un partenaire de duplication. Au cours d’un
cycle de duplication, seuls les changements (non pas tout l’objet) se dupliquent
pour chaque propriété. Par exemple, si le numéro de téléphone d’un utilisateur
change sur un contrôleur de domaine 1, seul ce numéro de téléphone – et non tout
l’objet utilisateur – se duplique sur le contrôleur de domaine 2. Si un changement
affectant une propriété intervient sur deux contrôleurs de domaines, l’horodatage
permet de garantir que c’est le dernier changement qui entre en vigueur.
AD utilise des sites pour permettre de contrôler le trafic de duplication
entre des lieux reliés par des liaisons WAN lentes
L’installation de plusieurs contrôleurs de domaines dans une forêt crée trois
types de contextes de nommage de duplication. On peut comparer les contextes de
nommage à des chemins empruntés par les informations dupliquées. Chacun peut suivre
une voie différente entre les contrôleurs de domaines d’une forêt et chacun duplique
différentes informations, selon le rôle de ces informations. Le contexte de nommage
domaine duplique les changements du DIT sur les contrôleurs de domaine d’un domaine,
le contexte de nommage schéma duplique les informations de schéma à tous les contrôleurs
de domaine d’une forêt et le contexte de nommage configuration duplique les informations
de configuration, telles que la topologie de la duplication, à tous les contrôleurs
de domaine d’une forêt.
AD utilise des sites pour permettre de contrôler le trafic de duplication entre
des lieux reliés par des liaisons WAN lentes. Les sites AD, comme les sites Exchange
Server, sont des zones de bande passante réseau très large. Dans un site le processus
Knowledge Consistency Checker (KCC), le Vérificateur de cohérence des connaissances
qui tourne dans chaque contrôleur de domaine, génère automatiquement la topologie
de duplication des contrôleurs de domaines. Le KCC crée une topologie en anneau
entre les contrôleurs de domaines du site. Au fur et à mesure que le nombre de
contrôleurs de domaines augmente, le KCC ajoute des objets connexions entre les
contrôleurs de domaines pour empêcher plus de trois tronçons entre les contrôleurs
de domaines du site. La fréquence de duplication entre les sites peut être programmée
manuellement en fonction des besoins du réseau.
Pour définir des sites manuellement, il faut utiliser le snap-in MMC Active Directory
Sites and Services. Il faut également créer des objets sous-réseaux correspondant
à tous les sous-réseaux TCP/IP de l’architecture et associer ces sous-réseaux
aux sites appropriés. Les postes de travail se servent de ces informations pour
localiser le contrôleur de domaine le plus proche lors d’une authentification,
car elles préfèrent utiliser un contrôleur de domaine à l’intérieur d’un site
avant d’interroger DNS pour en trouver d’autres disponibles.
Structure des contrôleurs de domaines. Dans NT 4.0, le PDC constitue un point
de changement, et de défaillance, unique pour le SAM. Comme on l’a vu plus haut,
Windows 2000 n’a pas besoin du PDC pour effectuer des changements dans la base
SAM, puisqu’il supporte la duplication multiple domaine maître de AD. Mais le
rôle de PDC existe toujours. Les forêts Windows 2000 ont besoin des cinq rôles
Operations Master (Maître des opérations) suivants pour les contrôleurs de domaines
: PDC, RID (Relative Identifier) Pool, Infrastructure, Domain Naming et Schema.
Les rôles Operations Master PDC, RID Pool et Infrastructure doivent résider au
moins sur un contrôleur de domaine par domaine. En cas de défaillance d’un serveur
détenant un rôle particulier, il faut promouvoir manuellement un autre contrôleur
de domaine pour prendre en charge le rôle. Le rôle de PDC est intuitif : en présence
de BDC et de clients NT 4.0, le contrôleur de domaine Windows 2000 chargé du rôle
de PDC est le PDC du domaine. Le rôle RID Pool désigne la valeur RID dans la SID
d’un utilisateur. Comme Windows 2000 permet à tout contrôleur de domaine de faire
des changements dans l’annuaire, il faut une méthode pour coordonner l’attribution
de RID à de nouveaux objets. C’est le Operations Master RID Pool qui joue ce rôle.
Quant au rôle Infrastructure il s’agit d’un processus permettant de maintenir
une cohérence inter-domaines entre des objets se dupliquant au-delà des limites
des domaines (par exemple le Catalogue global, la configuration des sites, les
connexions de duplication).
Les rôles Operations Master Domain Naming et Schema résident au minimum dans un
contrôleur de domaine d’une forêt. Domain Naming garantit l’unicité des noms de
domaines d’une forêt au fur et à mesure de l’ajout de nouveaux domaines. Le rôle
Schema définit les contrôleurs de domaines autorisés à effectuer des changements
de schéma d’annuaires, parce que permettre à plusieurs contrôleurs de domaines
de faire des changements de schémas dans l’annuaire risque de poser des problèmes.
La méthode de migration la plus simple est de convertir les domaines NT
4.0, c’est-à -dire de faire migrer le PDC du premier domaine maître
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
