> Tech > Une plongée dans le schéma AD

Une plongée dans le schéma AD

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

Par Alain Lissoir
Les objets et attributs de Windows 2000 AD (Active Directory) peuvent servir de référentiel central pour de grandes masses de données. La définition de répertoire standard d'AD - le schéma - définit un ensemble standard de classes d'objets ainsi que des attributs ...

  L'entreprise d'aujourd'hui dispose en permanence d'un océan d'informations sur ses employés en outre, elle doit pouvoir y accéder rapidement et facilement. Les objets et attributs de Windows 2000 AD (Active Directory) peuvent servir de référentiel central pour de telles données. La définition de répertoire standard d'AD - le schéma - définit un ensemble standard de classes d'objets ainsi que des attributs, comme le nom, le numéro de téléphone et l'adresse postale. Quand on installe Microsoft Exchange 2000 Server, on ajoute aussi de nombreux nouveaux attributs - dont 15 attributs d'extension - prêts à  recevoir des informations supplémentaires.

   Mais, les attributs standard et les attributs d'extension d'Exchange 2000 ne sont pas toujours suffisants pour les besoins d'informations spécifiques d'une entreprise ou d'une application. Ces attributs d'extension ne peuvent contenir qu'une valeur, alors que certaines applications peuvent demander qu'un attribut contienne plusieurs valeurs (un tableau, par exemple). Egalement, le type d'informations que l'on peut stocker dans un attribut peut être limité par sa syntaxe. Supposons, par exemple, que l'on veuille stocker les numéros de sécurité sociale des employés dans AD. Si l'on a installé Exchange 2000, on peut utiliser un attribut d'extension pour cette tâche, mais la syntaxe de l'attribut - une chaîne unicode - risque de poser un problème pour une entrée numérique comme un numéro de sécurité sociale.

   Pour résoudre de tels dilemmes, Win2K permet d'étendre le schéma. Mais il ne faut pas aborder cette extension sans préparation préalable. En effet, des manipulations de schéma incorrectes pourraient obliger à  réinstaller toute la forêt AD - une perspective à  éviter à  tout prix. Comme les modifications de schéma sont irréversibles, il faut comprendre les objets que le schéma contient et leurs relations réciproques, avant de se lancer.

Retrouvez les figures explicatives dans l'édition papier - n°12 - novembre 2001

Une plongée dans le schéma AD

  Comme l’illustre la figure 1, AD contient trois naming contexts (NC) : le Domain NC, le Configuration NC et le Schema NC. Chaque NC a un rôle précis et un domaine de réplication qui lui est propre..

  Le Domain NC. Le Domain NC, aussi appelé Default NC, contient toutes les données d’un domaine AD ; Win2K réplique ce NC uniquement entre les contrôleurs de domaines (DC, domain controllers) qui appartiennent au domaine. (Un Domain NC dans un domaine en haut de l’arborescence d’une forêt AD pourrait aussi être appelé Root NC, mais apparaîtra normalement comme un Domain NC ordinaire.)

  Le Configuration NC. Le Configuration NC contient les principaux objets d’infrastructure AD (c’est-à -dire, DC, sites, subnets, liens du site, et autres objets de configuration). Le Configuration NC montre clairement la topologie de la forêt AD ; Win2K réplique ce NC au travers de la forêt.

  Le Schema NC. Le Schema NC – une sorte de méta-NC – définit tous les objets et attributs AD. Win2K réplique le Schema NC au travers de la forêt.

  Pour visualiser le contenu d’un NC, on peut utiliser le snap-in ADSI Edit de MMC (Microsoft Management Console). (On peut trouver ADSI Edit dans le dossier \support\tools sur le CD-ROM Win2K Server.) La figure 2 montre l’affichage du Schema NC par ADSI Edit.

  On peut aussi utiliser cet outil pour découvrir les relations entre des objets AD. Mais il est un moyen bien plus simple d’étudier ces relations, en utilisant le snap-in MMC Active Directory Schema, illustré figure 3. Le snap-in montre deux conteneurs : Classes (qui contient les objets classSchema) et Attributes (qui contient les objets attributeSchema). Ce snap-in n’est pas disponible par défaut ; pour l’enregistrer sur le système, ouvrir une invite de commande et taper

regsvr32 %systemroot%\system32\schmmgmt.dll

   La terminologie que Microsoft utilise pour expliquer le contenu du Schema NC n’est pas des plus claire. C’est pourquoi il faut bien connaître le sens de ces termes : objet, attribut, classe et instance.

Téléchargez gratuitement cette ressource

Protection des Données : 10 Best Practices

Protection des Données : 10 Best Practices

Le TOP 10 des meilleures pratiques, processus et solutions de sécurité pour mettre en œuvre une protection efficace des données et limiter au maximum les répercutions d’une violation de données.

Tech - Par iTPro.fr - Publié le 24 juin 2010