Services Active Directory et domaines Windows 2000 (Partie 1)

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s) :

·             Microsoft Windows 2000 Professionnel

Ancien nº de publication de cet article : F310996

Résumé

Les informations contenues dans cet article sont fournies par : Microsoft Press .

Cet article est la première partie d'une série de deux articles expliquant les services Active Directory et les domaines Windows 2000. Pour consulter la deuxième partie, cliquez sur le lien suivant :

310997 Services Active Directory et domaines Windows 2000 (Partie 2)

Les rubriques suivantes sont abordées dans la première partie :

·             Domaines Windows 2000

·          

§                 Hiérarchie de domaine

§          

o                    Domaines

o                    Arborescences

o                    Forêts

§                 Relations d'approbation

§          

o                    Approbations transitives

o                    Approbations unidirectionnelles

o                    Approbations croisées

Les rubriques suivantes sont abordées dans la deuxième partie :

·             Domaines Windows 2000 (suite de la première partie)

·          

§                 Limites administratives

§          

o                    Domaines

o                    Unités d'organisation

·             Interaction avec Active Directory

·          

§                 Émulation de la hiérarchie de domaine

§                 Catalogue de domaine (le partitionnement d'annuaire)

§                 Partitionnement de l'annuaire

§                 Obtention d'informations sur les objets sur un autre domaine

§          

o                    Distribution de l'annuaire

o                    Réplication de l'annuaire

§                 Catalogue de l'entreprise (Catalogue global)

·             Conclusions

Ces informations sont extraites du document Référence technique des services Active Directory pour Microsoft Windows 2000, Chapitre 3 : Services Active Directory et domaines Windows 2000. En savoir plus Référence technique des services Active Directory pour Microsoft Windows 2000 .

Plus d'informations

La structure des domaines Microsoft Windows 2000 et les objets qui y sont associés ont considérablement changé par rapport à leurs équivalents dans Windows NT 4, si l'on considère le rôle central du service Active Directory dans Windows 2000 et les conditions de conception qui font de ce programme un service d'annuaire adaptable et prêt à l'emploi. Certaines de ces modifications sont évidentes, notamment la transition vers un modèle de relation d'approbation transitive, mais d'autres sont plus subtiles, par exemple l'introduction d'unités d'organisation. Que ces modifications soient subtiles ou non, il est essentiel de les expliquer pour comprendre l'interaction et les dépendances entre les domaines Windows 2000 et les services Active Directory. On peut dire d'une certaine manière qu'Active Directory émule le modèle de domaine Windows 2000 (ou vice versa). Quoi qu'il en soit, les domaines Windows 2000 et Active Directory dépendent l'un de l'autre et se définissent mutuellement. La relation étroite et indivisible entre les domaines Windows 2000 et les services Active Directory nécessite une explication du modèle de domaine Windows 2000 et son interaction avec les services Active Directory. C'est la raison pour laquelle ce chapitre commence par une explication du modèle de domaine Windows 2000 et indique en détails les raisons pour lesquelles ce modèle est si différent du modèle de domaine Windows NT.

Domaines Windows 2000

La mise à l'échelle des modèles de domaines Windows NT 4 ne s'effectuait pas très bien. Il existe d'autres manières de démontrer ce fait, qui adouciraient la réalité, mais le fait est que le modèle de domaine Windows NT 4 (avec ses approbations unidirectionnelles intransitives) nécessitaient d'importantes tâches administratives pour les implémentations dans les grandes entreprises. Ce n'est plus le cas avec Windows 2000 et son modèle de domaine, principalement en raison d'une nouvelle approche concernant les approbations, mais aussi parce que tout le concept de domaine a été révisé afin de l'adapter aux normes de l'industrie telles que le protocole LDAP (Lightweight Directory Access Protocol) et le service DNS (Domain Name Service).

Hiérarchie de domaine

Dans les réseaux Windows 2000, les domaines sont organisés dans une hiérarchie. De cette nouvelle approche hiérarchique des domaines ont été créés les concepts de forêts et d'arborescences. Ces nouveaux concepts, ainsi que le concept existant de domaines, aident les organisations à gérer plus efficacement la structure de réseau Windows 2000.

Domaines

L'unité atomique du modèle de domaine Windows 2000 n'a pas changé, c'est toujours le domaine. Un domaine est une limite administrative et, dans Windows 2000, un domaine représente un espace de nom (ceci fait l'objet du chapitre 4) correspondant à un domaine DNS. Reportez-vous au chapitre 6, "Services Active Directory et DNS", pour plus d'informations sur l'interaction entre les services Active Directory et le service DNS.

Le premier domaine créé dans un déploiement Windows 2000 est appelé domaine racine et, comme l'indique son nom, il est la racine de tous les autres domaines créés dans l'arborescence du domaine. (Les arborescences de domaines font l'objet de la section suivante.) Étant donné que les structures de domaine Windows 2000 sont associées aux hiérarchies de domaine DNS, la structure des domaines Windows 2000 est similaire à la structure des hiérarchies de domaines DNS que nous connaissons déjà. Les domaines racines sont des domaines tels que microsoft.com ou iseminger.com ; ce sont les racines de leurs hiérarchies DNS et les racines de la structure de domaine Windows 2000.

Les domaines créés par la suite dans une hiérarchie de domaine Windows 2000 donnée sont des domaines enfants du domaine racine. Par exemple, si msdn est un domaine enfant de microsoft.com, le domaine msdn devient msdn.microsoft.com.

Comme vous pouvez le constater, Windows 2000 requiert que les domaines soient des domaines racines ou des domaines enfants dans une hiérarchie de domaine. Windows 2000 nécessite également que les noms des domaines soient uniques à l'intérieur d'un domaine parent donné. Par exemple, vous ne pouvez pas utiliser deux domaines intitulés msdn en tant que domaines enfants directs du domaine racine microsoft.com. Cependant, deux domaines appelés msdn peuvent exister dans la hiérarchie générale du domaine. Par exemple, vous pouvez créer les domaines msdn.microsoft.com et msdn.devprods.microsoft.com ; l'espace de nom microsoft.com ne comprend qu'un domaine enfant appelé msdn et l'espace de nom devprods.microsoft.com n'a qu'un domaine enfant intitulé msdn.

L'idée sous-jacente des domaines est le partitionnement logique. La plupart des organisations assez importantes pouvant nécessiter plusieurs domaines Windows 2000 possèdent une structure logique qui divise les responsabilités ou les tâches. En divisant l'organisation en plusieurs unités (parfois appelées départements dans les entreprises), sa gestion devient plus facile. En effet, l'organisation est partitionnée de manière à fournir une structure plus logique et peut-être pour diviser le travail parmi les différentes sections de l'organisation. D'un autre point de vue, lorsque les unités logiques professionnelles (départements) sont rassemblées sous l'égide d'une entité plus importante (par exemple une entreprise), ces départements différents sur le plan logique créent une entité plus étendue. Bien que le travail au sein des départements puisse être distinct et très différent, les départements forment ensemble une entité plus étendue mais complète sur le plan logique. Ce concept s'applique aussi au groupement de domaines Windows 2000 dans une entité d'espace de nom contiguë et plus étendue appelée arborescence.

Arborescences

Les arborescences--parfois appelées arborescences de domaine--sont des ensembles de domaines Windows 2000 formant un espace de nom contigu. Une arborescence de domaine est formée dès qu'un domaine est créé et associé à un domaine racine donné. Comme définition technique, on peut dire qu'une arborescence est une hiérarchie de noms DNS contiguë ; de manière conceptuelle, une arborescence de domaine ressemble à un arbre à l'envers (avec le domaine racine en haut), avec les branches (domaines enfants) jaillissant dessous.

La création d'une arborescence de domaine permet aux organisations de créer une structure logique de domaines à l'intérieur de leur organisation et de disposer d'une structure conforme et reflétant l'espace de nom DNS. Par exemple, David Iseminger SA peut avoir un domaine DNS appelé micromingers.iseminger.com ainsi que différents départements logiques dans l'entreprise, tels que les ventes, la comptabilité, la production, etc. Dans ce cas, l'arborescence du domaine peut ressembler à celle de la Figure 3-1.

Illustration de l'arborescence de domaine pour micromingers.iseminger.com
Figure 3-1. Arborescence de domaine pour micromingers.iseminger.com

REMARQUE : Vous avez maintenant pu constater que iseminger.com est utilisé partout. Il ne s'agit pas d'une marque d'orgueil de la part de l'auteur ; il s'agit de considérations légales sur lesquelles insiste l'éditeur. "Pas de domaines pouvant donner lieu à des controverses.", ont-ils déclaré. "Seulement des domaines appartenant à l'auteur ou des noms qui ne veulent vraiment rien dire." L'auteur est propriétaire du site www.iseminger.com, ce nom de domaine sera donc utilisé dans l'ensemble de ce manuel. Les noms auraient été pu être plus créatifs, mais hélas, il faut bien faire plaisir aux avocats.

Cette organisation de départements logiques dans l'entreprise fonctionne très bien pour les entreprises possédant un domaine DNS, mais nous devons aussi nous intéresser aux problèmes des sociétés qui comprennent plus d'une "entreprise" au sein d'une même grande société. Ces problèmes peuvent être résolus grâce à l'utilisation de forêts Windows 2000.

Forêts

Certaines organisations peuvent comprendre plusieurs domaines racines, tels que iseminger.com et microsoft.com, pourtant l'organisation elle-même est une seule entité (comme la société fictive David Iseminger SA dans cet exemple). Dans ces situations, ces arborescences de domaines multiples peuvent former un espace de nom non contigu appelé forêt. Une forêt est une ou plusieurs hiérarchies d'arborescences de domaine contiguës constituant une entreprise donnée. En toute logique, ceci signifie aussi qu'une organisation qui ne comprend qu'un domaine dans son arborescence de domaine est également considérée comme une forêt. Cette distinction devient plus importante plus loin dans ce chapitre, lorsque nous traitons de la manière dont Active Directory interagit avec les domaines et les forêts Windows 2000.

Le modèle de forêt permet aux organisations qui ne forment pas d'espace de nom contigu de maintenir la continuité de leur structure générale de domaine dans toute l'entreprise. Par exemple, si David Iseminger SA--iseminger.com--pouvait rassembler assez de cents d'euro pour s'offrir une société appelée Microsoft et possédant sa propre structure d'annuaire, les structures de domaine des deux entités pourraient être combinées dans une forêt. L'utilisation d'une seule forêt présente trois principaux avantages. D'abord, les relations d'approbation sont plus faciles à gérer (elles permettent aux utilisateurs d'une arborescence de domaine d'accéder aux ressources d'une autre arborescence). Ensuite, le Catalogue global incorpore les informations d'objets de toute la forêt, ce qui permet d'effectuer des recherches dans l'ensemble de l'entreprise. Enfin, le schéma Active Directory s'applique à l'ensemble de la forêt. (Reportez-vous au chapitre 10 pour des informations techniques concernant ce schéma.) La Figure 3-2 illustre la combinaison des structures des domaines iseminger.com et Microsoft, avec une ligne entre leurs domaines racines indiquant l'approbation Kerberos existant entre elles et qui crée la forêt. (Le protocole Kerberos est expliqué en détail au chapitre 8.)

Bien qu'une forêt puisse inclure plusieurs arborescences de domaines, elle représente une seule entreprise. La création de la forêt permet à tous les domaines membres de partager des informations (par le biais du Catalogue global). Vous vous demandez peut-être comment les arborescences de domaines d'une forêt établissent des relations permettant à l'ensemble de l'entreprise (représentée par la forêt) de fonctionner en tant qu'unité. C'est une bonne question ; pour y répondre, nous allons vous donner une explication des relations d'approbation.

Relations d'approbation

La principale différence entre les domaines Windows NT 4 et les domaines Windows 2000 est peut-être l'application et la configuration de relations d'approbation entre les domaines d'une même organisation. Au lieu d'établir un réseau d'approbations unidirectionnelles (comme dans Windows NT 4), Windows 2000 implémente des approbations transitives qui circulent vers le haut et le bas de la (nouvelle) structure d'arborescence de domaine. Ce modèle simplifie l'administration du réseau Windows, comme je vais vous le démontrer par un exemple chiffré. Les deux équations suivantes (ne m'en veuillez pas--les équations servent d'illustration, inutile de les mémoriser) illustrent la charge de gestion produite par chaque approche ; elles représentent le nombre de relations d'approbation requises par chaque approche d'approbation de domaine, où n représente le nombre de domaines :

·             Domaines Windows NT 4--( n * ( n -1))
Domaines Windows 2000--( n -1)

Toujours à titre d'exemple, considérons un réseau comprenant quelques domaines et voyons le rapport entre les approches des modèles de domaines. (n = 5 dans les formules suivantes.)

·             Domaines Windows NT 4 : (5 * (5-1)) = 20 relations d'approbation
Domaines Windows 2000 : (5 - 1) = 4 relations d'approbation

Illustration de la combinaison des arborescences de domaines pour Iseminger.com et Microsoft
Figure 3-2. Combinaison des arborescences de domaines pour Iseminger.com et Microsoft

La différence du nombre de relations d'approbation à gérer est importante, mais cette réduction ne constitue même pas le principal avantage de la nouvelle approche des domaines. Avec les domaines Windows 2000, les approbations sont créées et implémentées par défaut. Si l'administrateur ne fait qu'installer les contrôleurs de domaines, les approbations sont déjà en place. Cette création automatique des relations d'approbation est liée au fait que les domaines Windows 2000 (contrairement aux domaines Windows NT 4) sont créés selon une hiérarchie, c'est-à-dire qu'une arborescence de domaine donnée comprend un domaine racine et des domaines enfants, rien d'autre. Ceci permet à Windows 2000 de savoir automatiquement quels domaines sont inclus dans une arborescence de domaine donnée et, lorsque des relations d'approbation sont établies entre des domaines racines, de savoir automatiquement quelles arborescences de domaines sont incluses dans la forêt.

Auparavant, les administrateurs devaient créer (puis gérer) des relations d'approbation entre les domaines Windows NT et ils devaient se rappeler les sens de ces relations d'approbation (et dans quelle mesure cela affectait les droits des utilisateurs dans les différents domaines). La différence est importante, les tâches de gestion sont réduites à une fraction et l'implémentation de ces approbations est plus intuitive--tout cela en raison du nouveau modèle d'approbation et de l'approche hiérarchique des domaines et des arborescences de domaines.

Dans Windows 2000, il existe trois types de relations d'approbation, chacun d'entre eux répondant à un besoin dans la structure de domaine. Les relations d'approbation disponibles dans les domaines Windows 2000 sont les suivantes :

·             Approbations transitives

·             Approbations unidirectionnelles

·             Approbations croisées


Approbations transitives

Les approbations transitives établissent une relation d'approbation entre deux domaines pouvant circuler vers les autres domaines. Par exemple si le domaine A approuve le domaine B et que le domaine B approuve le domaine C, le domaine A approuve automatiquement le domaine C et vice versa, comme le montre la Figure 3-3.

Illustration d'une approbation transitive entre trois domaines
Figure 3-3. Approbation transitive entre trois domaines

Les approbations transitives réduisent grandement les tâches administratives associées à la maintenance des relations d'approbation entre les domaines car il n'est plus nécessaire de gérer un réseau d'approbations unidirectionnelles non transitives. Dans Windows 2000, les relations d'approbation transitives entre les domaines parents et enfants sont automatiquement établies chaque fois que de nouveau domaines sont créés dans l'arborescence de domaine. Les approbations transitives sont limitées aux domaines Windows 2000 et aux domaines à l'intérieur d'une même forêt ou arborescence de domaine ; vous ne pouvez pas créer une relation d'approbation transitive avec des domaines de bas niveau (Windows NT 4 et antérieurs) et vous ne pouvez pas créer une approbation transitive entre deux domaines Windows 2000 résidant dans des forêts différentes.

Approbations unidirectionnelles

Les approbations unidirectionnelles ne sont pas transitives, elles définissent donc une relation d'approbation uniquement entre les domaines impliqués et elles ne sont pas bidirectionnelles. Vous pouvez cependant créer deux relations d'approbation unidirectionnelles séparées (une dans chaque direction) pour créer une relation d'approbation bidirectionnelle, tout comme vous le feriez dans un environnement Windows NT 4. Notez, cependant, que même ces approbations unidirectionnelles réciproques n'équivalent pas à une approbation transitive ; la relation d'approbation dans les approbations unidirectionnelles n'est valide qu'entre les deux domaines concernés. Les approbations unidirectionnelles dans Windows 2000 sont identiques aux approbations unidirectionnelles dans Windows NT 4--et elles sont utilisées dans Windows 2000 dans certaines situations. Quelques-unes des situations les plus courantes sont décrites ci-dessous.

D'une part, les approbations unidirectionnelles sont souvent utilisées lorsque de nouvelles relations d'approbation doivent être établies avec des domaines de bas niveau, tels que des domaines Windows NT 4. Dans la mesure où les domaines de bas niveau ne peuvent pas être intégrés à des environnements d'approbations transitives Windows 2000 (tels que des arborescences et des forêts), il est nécessaire d'établir des approbations unidirectionnelles pour autoriser des relations d'approbation entre un domaine Windows 2000 et un domaine de bas niveau Windows NT.

REMARQUE : Cette situation d'approbation unidirectionnelle ne s'applique pas au processus de migration (par exemple une mise à niveau d'un modèle de domaine Windows NT 4 existant vers le modèle de forêt/arborescence/ domaine Windows 2000). Lors d'une migration de Windows NT 4 vers Windows 2000, les relations d'approbation que vous avez établies sont respectées tout au long du processus de migration, jusqu'au moment où tous les domaines sont des domaines Windows 2000 et que l'environnement d'approbation transitive est établi. Le processus de migration est décrit beaucoup plus en détail au Chapitre 11, "Migration vers les services Active Directory".

D'autre part, vous pouvez utiliser des approbations unidirectionnelles si une relation d'approbation doit être établie entre des domaines n'appartenant pas à la même forêt Windows 2000. Vous pouvez utiliser des approbations unidirectionnelles entre des domaines de forêts Windows 2000 différentes afin d'isoler la relation d'approbation au domaine avec lequel la relation est créée et maintenue, au lieu de créer une relation d'approbation affectant l'ensemble de la forêt. Clarifions ceci par un exemple.

Imaginez que votre organisation possède un département Production et un département Ventes. Le département Production doit partager une partie de ses informations de processus (stockées sur des serveurs résidant dans son domaine Windows 2000) avec un organisme de normalisation. Le département Ventes, cependant, souhaite protéger de cet organisme de normalisation les informations critiques de ventes et de marketing qu'il stocke sur les serveurs de son domaine. (Peut-être que ses ventes sont si élevées que l'organisme de normalisation veut vous coincer en criant au monopole !) L'utilisation d'une approbation unidirectionnelle permet de préserver la sécurité de vos informations concernant les ventes. Pour garantir à l'organisme de normalisation l'accès dont il a besoin, vous établissez une approbation unidirectionnelle entre le domaine de Production et son domaine et, puisque les approbations unidirectionnelles ne sont pas transitives, la relation d'approbation n'est établie qu'entre les deux domaines participants. De plus, dans la mesure où le domaine approbateur est le domaine de production, aucune des ressources du domaine de l'organisme de normalisation n'est accessible aux utilisateurs du domaine de production.

Bien sûr, dans les deux scénarii d'approbation unidirectionnelle décrits ici, vous pouvez créer une approbation dans les deux directions à partir de deux relations d'approbation séparées.

Approbations croisées

Les approbations croisées servent à accroître les performances. Avec les approbations croisées, un pont virtuel de vérification d'approbation est créé dans la hiérarchie de l'arborescence ou de la forêt, ce qui permet de confirmer (ou d'infirmer) plus rapidement les relations d'approbation. L'explication est bonne mais plutôt courte et pour vraiment comprendre comment et pourquoi sont utilisées les approbations croisées, vous devez d'abord savoir comment sont traitées les authentifications inter-domaines dans Windows 2000.

Lorsqu'un domaine Windows 2000 doit authentifier un utilisateur (ou vérifier une demande d'authentification) sur une ressource qui ne réside pas dans son propre domaine, il opère de manière similaire aux requêtes DNS. Windows 2000 détermine dans un premier temps si la ressource se trouve dans le domaine dans lequel est effectuée la demande. Si la ressource ne se trouve pas dans le domaine local, le contrôleur de domaine (plus particulièrement, le service KDC [Key Distribution Service] sur le contrôleur de domaine) transmet au client une référence à un contrôleur de domaine dans la hiérarchie du domaine suivant (vers le haut ou le bas, selon le cas). Le contrôleur de domaine suivant effectue ensuite son contrôle de "ressource locale", jusqu'à ce que le domaine dans lequel réside la ressource soit atteint. (Ce processus de référence est expliqué en détail au chapitre 8.)

Bien que ce "cheminement dans l'arborescence du domaine" fonctionne bien, cette promenade virtuelle dans la hiérarchie du domaine prend du temps, ce qui affecte les performances des réponses aux demandes. Pour rendre ceci en termes qui soient peut-être plus compréhensibles, considérons la crise suivante :

Vous êtes dans un aéroport dont les ailes des terminaux forment un V. Le terminal A set trouve sur le côté gauche et le terminal B sur le côté droit. La numérotation des portes est séquentielle, de sorte que les portes 1 des terminaux A et B se trouvent près de la base du V (près de la jonction des deux terminaux) et les deux portes 15 sont aux extrémités du V. Toutes les portes se rejoignent à l'intérieur du V. Vous êtes en retard pour prendre votre avion et vous arrivez au terminal A porte 15 (à l'extrémité du V) et réalisez que votre vol part en fait du terminal B. Par la fenêtre, vous pouvez voir votre avion au terminal B porte 15 mais, pour atteindre cette porte vous devez marcher (d'accord, courir) tout le long du terminal A vers la base du V puis courir (et là vous êtes fatigué !) tout le long du terminal B pour arriver à la porte 15--juste à temps pour voir votre avion partir sans vous. Alors que vous vous asseyez dans la zone d'attente, perdant ainsi deux heures à attendre le prochain vol, vous regardez de l'autre côté du V le terminal A, d'où vous pensiez que partait votre vol, et il vous vient une idée géniale : construire un accès aérien entre les extrémités des terminaux de sorte que les passagers comme vous puissent passer rapidement de la porte 15 du terminal A à la porte 15 du terminal B. Vous comprenez ? Cela n'est utile que si le trafic entre les portes 15 des deux terminaux est élevé.

De la même manière, les approbations croisées peuvent servir de pont d'authentification entre des domaines qui sont distants sur le plan logique dans une hiérarchie de forêt ou d'arborescence et dont le trafic d'authentification est important. Qu'est-ce qui provoque autant de trafic d'authentification ? Considérons deux branches d'une arborescence de domaine Windows 2000. La première branche est composée des domaines A, B, C et D. A est le parent de B, B est le parent de C et C est le parent de D. La seconde branche comprend les domaines A, M, N et P. A est le parent de M, M est le parent de N et N est le parent de P. C'est un peu compliqué, alors observez la Figure 3-4, qui illustre cette structure.

Illustration d'un exemple de hiérarchie de domaine
Figure 3-4. Exemple de hiérarchie de domaine

Imaginons maintenant que des utilisateurs du domaine D utilisent régulièrement des ressources qui, pour une raison quelconque, résident dans le domaine P. Lorsqu'un utilisateur du domaine D souhaite utiliser des ressources du domaine P, Windows 2000 résout la demande en parcourant un chemin de référence qui remonte à la racine de l'arborescence (le domaine A ici), puis descend sur la branche appropriée de l'arborescence du domaine jusqu'au domaine P. Si ce type d'authentification a lieu en continu, cette approche crée un trafic important. Une approche plus adaptée consiste à créer une approbation croisée entre les domaines D et P, ce qui permet des authentifications entre les domaines sans retour à la racine de l'arborescence de domaine (ou au domaine de base auquel se séparent les branches de l'arborescence). Le résultat en est de meilleures performances en termes d'authentification.

Références

Les informations contenues dans cet article sont extraites du manuel Référence technique des services Active Directory pour Microsoft Windows 2000 publié par Microsoft Press.

Illustration du manuel Référence technique des services Active Directory pour Microsoft Windows 2000

En savoir plus Référence technique des services Active Directory pour Microsoft Windows 2000

Pour plus d'informations à propos de cette publication et des autres titres Microsoft Press, rendez-vous sur http://mspress.microsoft.com .

Services Active Directory et domaines Windows 2000 (Partie 2)

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s) :

·             Microsoft Windows 2000 Professionnel

Ancien nº de publication de cet article : F310997

Résumé

Les informations couvertes dans cet article sont fournies par : Microsoft Press .

Cet article est la seconde partie d'une série de deux articles expliquant les services Active Directory et les domaines Windows 2000. Pour consulter la partie 1, cliquez sur le lien suivant :

310996 Services Active Directory et domaines Windows 2000 (Partie 1)

Les rubriques suivantes sont traitées dans la deuxième partie :

·             Domaines Windows 2000 (suite de la première partie)

·          

§                 Limites administratives

§          

o                    Domaines

o                    Unités organisationnelles

·             Interaction avec Active Directory

·          

§                 Émulation de la hiérarchie de domaine

§                 Catalogue de domaine (le partitionnement d'annuaire)

§                 Partitionnement de l'annuaire

§                 Obtention d'informations sur les objets sur un autre domaine

§          

o                    Distribution de l'annuaire

o                    Réplication de l'annuaire

§                 Catalogue de l'entreprise (le Catalogue global)

·             Conclusions

Ces informations sont extraites du document Référence technique des services Active Directory pour Microsoft Windows 2000, Chapitre 3 : « Services Active Directory et domaines Windows 2000 ». En savoir plus Référence technique des services Active Directory pour Microsoft Windows 2000 .

Plus d'informations

Limites administratives

La réduction du nombre de relations d'approbation à gérer est une amélioration importante dans Windows 2000. Cependant, un autre élément devait absolument être amélioré dans Windows 2000, ce sont les limites administratives. Dans Windows NT 4 et les versions précédentes, les administrateurs qui devaient pouvoir administrer des sous-ensembles d'utilisateurs ou des groupes dans un domaine Windows NT donné devaient obtenir des autorisations administratives globales, sur tout le domaine. Même si leurs droits administratifs ne devraient pas couvrir l'ensemble du domaine, les droits dont ils ont besoin nécessitent l'octroi de droits globaux. Dans Windows 2000, ceci a changé avec l'apparition des unités d'organisation.

Domaines

Le domaine Windows 2000 est une limite administrative. Les droits administratifs ne dépassent pas les limites du domaine et ne circulent pas vers l'aval d'une arborescence de domaine Windows 2000. Par exemple, si une arborescence de domaine comprend les domaines A, B et C, où A est le domaine parent de B et B est le domaine parent de C, les utilisateurs bénéficiant de droits administratifs dans le domaine A n'ont pas de droits administratifs dans B et les utilisateurs bénéficiant de droits administratifs dans le domaine B ne possèdent pas de droits administratifs dans le domaine C. Les droits administratifs dans un domaine donné doivent être accordés par une autorité supérieure. Cela ne signifie cependant pas qu'un administrateur ne peut pas avoir de droits administratifs dans plusieurs domaines ; cela veut seulement dire que tous les droits doivent être définis de manière explicite.

Unités d'organisation

Les unités d'organisation permettent aux administrateurs de créer des limites administratives à l'intérieur d'un domaine. Celles-ci permettent aux administrateurs de déléguer des tâches administratives à des administrateurs subordonnés sans leur octroyer de droits administratifs globaux sur tout le domaine. Clarifions par un exemple les raisons pour lesquelles les unités d'organisation sont si utiles. Supposons que le département Ventes de votre organisation a ses propres administrateurs et ressources réseau, telles que des imprimantes et des serveurs et qu'il finance toutes ces ressources réseau avec son propre budget. Les administrateurs réseau du département Ventes souhaitent contrôler les ressources, les stratégies et d'autres éléments administratifs du département à l'intérieur du groupe du département Ventes. Toutefois, le département Ventes fait partie du domaine de l'entreprise. S'il s'agissait d'un réseau Windows NT 4, les administrateurs du département Ventes devraient être ajoutés au groupe Administrateurs de domaine pour obtenir les droits administratifs dont ils ont besoin pour administrer l'unité Département Ventes. Cette appartenance au groupe Administrateurs de domaine octroie aux administrateurs du département Ventes un contrôle administratif sur l'ensemble du domaine de l'entreprise (pas seulement sur l'unité Département Ventes). Un tel contrôle administratif global n'est pas approprié, mais c'est le seul moyen de garantir aux administrateurs du département Ventes un contrôle administratif les stratégies et les ressources du département Ventes. Ceci a changé avec Windows 2000 et l'apparition des unités d'organisation. Dans un réseau Windows 2000, les administrateurs superviseurs du réseau peuvent créer des unités d'organisation, y compris une unité d'organisation du département Ventes, à l'intérieur de la structure de domaine et établissent ainsi de nouvelles limites administratives plus limitées. La solution pourrait être à peu près la suivante : créer une unité d'organisation pour l'unité Département Ventes et octroient aux administrateurs du département Ventes les privilèges administratifs totaux pour l'unité d'organisation Département Ventes uniquement et pas pour une autre zone du domaine de l'entreprise. Avec la création d'unités organisationnelles, l'appartenance au groupe Administrateurs de domaine (qui accorde des privilèges administratifs pour l'ensemble du domaine, y compris pour ses unités d'organisation) peut être restreinte aux seuls administrateurs dont les responsabilités d'administration concernent l'ensemble du domaine. Le réseau est ainsi plus sûr et mieux exploité.

Que se passe-t-il si votre organisation a besoin d'unités d'organisation à l'intérieur d'unités d'organisation ? Est-il possible d'imbriquer les unités d'organisation ? La réponse à cette question est oui, mais cela implique des problèmes de performances que vous devez connaître. Vous pouvez les unités d'organisation, mais les performances deviennent un problème lorsque vous imbriquez plus de 15 unités d'organisation environ. Il est d'autres problèmes que vous devez prendre en compte lorsque vous devez décider d'imbriquer ou non des unités d'organisation (et d'utiliser ou non des unités d'organisation), ils sont traités en détail au Chapitre 7, « Planification d'une implémentation Active Directory ».

Interaction avec Active Directory

Quel est le rôle joué par les services Active Directory dans tout cela ? Pourquoi est-ce absolument nécessaire de comprendre parfaitement les domaines et leur structure pour connaître les recommandations sur la planification des services Active Directory ? Parce que Active Directory est lié de manière inextricable à la structure de domaine de votre déploiement Windows 2000.

Émulation de la hiérarchie de domaine

Comme nous le savons, les domaines Windows 2000 forment une hiérarchie de domaine et une hiérarchie de domaine ou plus peut former une forêt. L'annuaire, en tant qu'unité complète, est simplement l'ensemble de tous les objets de la forêt. Pour garantir que les services Active Directory se mettrait à l'échelle sur des millions d'objets dans un seul annuaire, cependant, il a fallu mettre en place une stratégie de « morcellement » de l'annuaire car, pour simplifier, un annuaire non partitionné de la taille d'un mammouth ne se mettrait pas à l'échelle correctement. La solution fut de partitionner l'annuaire, ce qui lui permit de fonctionner et de se mettre à l'échelle de manière satisfaisante.

Le schéma de partitionnement de Active Directory émule la hiérarchie de domaine Windows 2000. Ainsi, l'unité de partitionnement pour les services Active Directory est le domaine.

L'émulation de cette hiérarchie de domaine permet d'atteindre plusieurs objectifs :

·             L'évolutivité est assurée

·             Les performances sont optimisées

·             Les tâches de réplication sont minimisées

La section suivante explique en détail dans quelle mesure le schéma de partitionnement de Active Directory émule la hiérarchie de domaine, dans quelle mesure l'évolutivité est assurée et les performances sont optimisées et pourquoi cette émulation de la structure de domaine minimise les tâches de réplication.

Catalogue de domaine (le partitionnement d'annuaire)

L'objectif principal des services Active Directory est de créer un catalogue des objets résidant dans la forêt. Bien sûr, ce catalogue ne serait pas vraiment utile s'il était si volumineux qu'il en deviendrait lent et peu pratique. Par exemple, imaginez tous les amis que vous pourriez emmener au ski si vous aviez un bus, mais essayez de faire un créneau avec ce bus, de passer un col ou de le garer dans votre garage. Il serait plus efficace de créer un convoi de voitures, chacune transportant des skieurs vivant près les uns des autres. Le passage des cols ne serait plus si difficile et vous pourriez trouver des places de stationnement dispersées dans un parking. Mieux encore, chaque voiture pourrait ramener à la maison quelques-uns des skieurs, ce qui permettrait à chacun de rentrer plus tôt chez eux que s'ils devaient tous rentrer dans un seul bus.

Poussons l'exemple encore plus loin, imaginez le problème que vous rencontreriez si vous vous faisiez de nouveaux amis, eux aussi passionnés de ski. S'ils sont trop nombreux, tous ne pourront pas loger dans le bus. Dans ce cas, vous seriez obligé de vous procurer un nouveau bus, plus grand, donc encore plus encombrant que le précédent. Au fur et à mesure que le nombre de skieurs augmente, le temps nécessaire pour ramener chacun chez soi devient de plus en plus long. En comparaison, en utilisant des automobiles, il vous suffit d'ajouter des voitures au convoi au fur et à mesure que le nombre de participants augmente ; cette solution n'est pas incommandante pour les skieurs d'origine et la durée du voyage retour n'augmente pas. Les services Active Directory vous permettent d'éviter d'utiliser un bus surchargé. Au lieu de cela, l'annuaire est morcelé, tout comme le convoi de voitures, et les avantages de cette approche s'apparentent aux avantages de l'utilisation d'un convoi, tout en étant plus vastes.

Partitionnement de l'annuaire

Pour vous aider à visualiser le partitionnement des services Active Directory dans la forêt, voici un exemple de forêt simple. La Figure 3-5 illustre l'exemple de forêt et son arborescence de domaine unique.

Illustration de la hiérarchie de domaine A, B, C, D, E et F
Figure 3-5. Hiérarchie de domaine A, B, C, D, E et F

La forêt est composée de tous les domaines illustrés à la Figure 3-5. L'annuaire total comprend tous les objets contenus dans tous les domaines de la forêt. Cependant, pour augmenter l'évolutivité et les performances, vous devez morceler l'annuaire en plusieurs parties, dont le regroupement crée l'annuaire complet.

N'oubliez pas que dans Windows 2000, l'unité de partitionnement est le domaine. Ainsi, en observant de nouveau notre exemple de hiérarchie de domaine, nous pouvons comparer la hiérarchie de domaine logique à la manière dont l'annuaire est partitionné. La Figure 3-6 compare la hiérarchie de domaine au catalogue d'annuaire. Comme vous pouvez le voir, l'annuaire est simplement l'agrégation de chaque partition de domaine.

Illustration de la relation hiérarchie de domaine/schéma de partitionnement d'annuaire
Figure 3-6. Relation hiérarchie de domaine/schéma de partitionnement d'annuaire

N'oubliez pas que même des arborescences non-contiguës au sein de la même forêt forment un annuaire. Ne confondez pas arborescences et forêts et ne confondez pas la limite de l'entreprise (la forêt) avec la nature contiguë d'une arborescence de domaine donnée au sein de la forêt (l'arborescence). La plupart des organisations, espérons-le, sont en mesure de planifier et de déployer une arborescence unique, ce qui équivaut à un seul espace de nom, qui constitue l'ensemble de la forêt. C'est le déploiement le plus simple à planifier, à gérer et à maintenir. Mais les déploiements ne sont pas toujours aussi clairs et le domaine évolue au fur et à mesure des acquisitions, n'oubliez donc pas l'équation logique suivante :

·             Une forêt = un schéma = un catalogue d'annuaire

Tenez compte du fait que même un seul domaine constitue une forêt. Si vous avez eu la chance de concevoir raisonnablement votre structure de domaine Windows 2000 en tant que domaine unique, n'oubliez pas que votre domaine unique constitue la forêt. Qu'est-ce que cela signifie ? Cela signifie que l'ensemble du catalogue d'annuaire est inclus dans une unité non partitionnée. (Le domaine est l'unité de partitionnement : un domaine = une partition.)

L'un des principaux avantages du partitionnement du catalogue d'annuaire concerne peut-être l'évolutivité du catalogue, en particulier pour ce qui est des conséquences de l'ajout d'un domaine à l'arborescence de domaine, voire de l'ajout d'une arborescence complète de domaine à la forêt. L'ajout d'un domaine ou d'une arborescence de domaine n'augmente pas de tâches d'administration ou de réplication à la hiérarchie de domaine et à la structure administrative existantes. En raison du partitionnement de l'annuaire et dans la mesure où chaque contrôleur de domaine de tout domaine donné ne contient que les informations de catalogue d'annuaire relatives à son domaine, lorsque vous ajoutez un domaine ou une arborescence de domaine à la forêt, cela n'affecte ni les performances du réseau ni l'évolutivité. Combiné aux nouvelles relations d'approbation transitives établies entre les domaines d'une même forêt, ce partitionnement des informations du catalogue d'annuaire permet la mise à l'échelle vers de très vastes déploiements d'entreprise avec Windows 2000 et les services Active Directory.

Obtention d'informations sur les objets sur un autre domaine

Comme nous avons beaucoup parlé du partitionnement du catalogue d'annuaire, vous vous demandez peut-être comment les utilisateurs d'un domaine accèdent aux informations d'une autre partition de domaine. En effet, si les contrôleurs de domaine d'un domaine contiennent des informations sur les objets situés uniquement dans leur domaine, que se passe-t-il lorsque des utilisateurs ont besoin d'informations concernant des objets résidant dans un autre domaine ? Bonne question, et par chance la réponse est simple : Les services Active Directory utilisent des recherches et des requêtes DNS pour résoudre les requêtes, tout comme Internet.

Bien que les services Active Directory et Windows 2000 utilisent DNS pour leur service de recherche, ils utilisent tous deux une entrée spéciale d'enregistrement de ressource (RR) de services (SRV) qui désigne une entrée DNS donnée comme étant un contrôleur de domaine. Les contrôleurs de domaine, à leur tour, déterminent s'ils peuvent résoudre la requête, comme si la requête concernait un objet situé dans leur domaine local. S'ils ne le peuvent pas, la requête est renvoyée à un contrôleur de domaine qui peut lui-même résoudre la requête ou qui peut orienter le contrôleur de domaine vers le serveur logique suivant, sur lequel la requête doit être effectuée. Enfin, le contrôleur de domaine capable de résoudre la requête est trouvé (ou il est définitivement introuvable), auquel cas le client est renvoyé à ce serveur pour poursuivre le processus de requête.

Les requêtes DNS sont expliquées plus en détail au Chapitre 6, "Services Active Directory et DNS."

Distribution de l'annuaire

Les points que nous devons maintenant clarifier sont la manière dont l'annuaire partitionné est distribué et comment il interagit avec le modèle de domaine Windows 2000. Dans Windows 2000, chaque contrôleur de domaine d'un domaine donné contient une copie de la partition d'annuaire de son domaine, ce qui permet à chaque contrôleur de domaine de résoudre localement les requêtes d'information concernant des objets dans le domaine auquel il appartient.

Cette approche est logique car souvent les utilisateurs (ou d'autres entités utilisant les services Active Directory) exploitent davantage les ressources réseau du domaine local que les ressources situées sur un domaine distant. En distribuant une copie de la partition de domaine sur chaque contrôleur du domaine (et en rendant ces copies lisibles et inscriptibles), vous obtenez les améliorations suivantes :

·             Les performances sont améliorées parce que tout contrôleur de domaine effectuent des recherches locales pour les objets trouvés dans son domaine.

·             L'évolutivité est améliorée parce que chaque contrôleur de domaine contient ainsi une copie maître lisible et inscriptible de la partition de catalogue d'annuaire.

·             L'évolutivité est aussi améliorée dans la mesure où un seul ordinateur ne supporte pas la charge des mises à jour de l'annuaire.

Cette approche est particulièrement utile lorsque la topologie du réseau inclut des sites distants ou des filiales. En plaçant un contrôleur de domaine (qui, par définition, contient une copie de la partition du catalogue d'annuaire) sur un site distant, les requêtes des utilisateurs peuvent être résolues localement. Ceci signifie qu'il est possible de minimiser l'utilisation de ressources WAN (Wide Area Network) sans doute coûteuses ou limitées. L'avantage de placer un contrôleur de domaine sur un site distant ou sur le site d'une filiale ne se limite pas aux économies de ressources WAN car, bien sûr, les performances des requêtes sont aussi améliorées grâce à la disponibilité du contrôleur de domaine (et de sa partition de catalogue d'annuaire) sur le réseau local (LAN) du site distant.

Réplication de l'annuaire

Dans la mesure où un contrôleur de domaine contient une copie maître inscriptible de la partition Active Directory de son domaine, il est possible de modifier la partition d'un domaine sur tous les contrôleurs de domaine disponibles. Lorsqu'un contrôleur de domaine est modifié, il doit exister une méthode pour reproduire les modifications sur les autres contrôleurs de domaine. Ce processus de distribution des informations mises à jour vers les contrôleurs de domaines appropriés est appelé réplication.

Dans Windows 2000, l'unité de réplication est la partition de domaine. Cependant, seules les modifications au niveau des attributs d'un objet donné, et non des objets entiers, sont répliqués sur les autres contrôleurs de domaine. Le résultat en est des économies importantes dans le trafic de réplication et, dès que le trafic réseau nécessaire au fonctionnement peut être réduit, la solution est plus efficace.

La priorité de mise à jour est déterminé par le biais de l'utilisation de numéros de séquence de mise à jour (USN). Au lieu de comparer les valeurs des attributs d'objets, les services Active Directory utilise un numéro progressif (l'USN) pour déterminer si une réplication est requise et, le cas échéant, quelles valeurs d'attributs d'objets doivent être transmises. Pour plus d'informations sur les USN, reportez-vous à la section « Réplication » au Chapitre 4, « Architecture de l'évolutivité de Active Directory ». Cette implémentation des USN est un autre avantage de l'utilisation du domaine en tant qu'unité de partitionnement ; il restreint le trafic de réplication (déjà limité aux modifications d'attributs) dans les limites du domaine dans lequel les modifications ont eu lieu.

Catalogue de l'entreprise (le Catalogue global)

Enfin, les services Active Directory doivent pouvoir répondre rapidement aux requêtes de l'utilisateur. Bien que de nombreuses requêtes d'utilisateurs demeurent dans le domaine auquel appartiennent les utilisateurs, beaucoup de requêtes ne sont pas spécifiques au domaine et ont lieu sur l'ensemble de l'entreprise. Prenons par exemple les requêtes de noms de messagerie électronique. Un service d'annuaire vraiment performant et efficace pour l'entreprise doit pouvoir traiter ces requêtes globales fréquentes sans générer de trafic réseau inutile et sans passer par de multiples références de requête. La solution est un catalogue d'annuaire contenant un sous-ensemble d'attributs pour chaque objet dans l'entreprise. En effet, il doit s'agir d'un catalogue d'attributs d'objets dont l'intérêt est global. Pour les services Active Directory, cette solution est le Catalogue global. Le Catalogue global est constitué d'attributs sélectionnés à partir de chaque objet de l'entreprise, ce qui signifie que les attributs sélectionnés à partir de chaque objet de la forêt sont disponibles pour les requêtes locales au domaine. Tout comme Microsoft a créé un ensemble par défaut d'objets dans le schéma, les attributs par défaut de chaque objet de schéma sont marqués pour être inclus dans le Catalogue global. (Vous ne les modifierez peut-être jamais mais cela est possible.) La plupart des objets ont environ quinze attributs et approximativement sept d'entre eux sont marqués pour être inclus dans le Catalogue global.

Le Catalogue global se base sur certains contrôleurs de domaine dans chaque domaine et il traite des requêtes spécifiques aux recherches globales. Lorsqu'un utilisateur soumet une requête globale basée sur un attribut d'objet et que cet attribut d'objet est marqué pour être inclus dans le Catalogue global, la requête peut être résolue par un contrôleur dans le domaine local configuré pour garder une copie du Catalogue global. Dans la mesure où au moins un contrôleur de domaine héberge le Catalogue global dans chaque domaine, les requêtes orientées sur des recherches globales peuvent être exécutées et résolues rapidement. Les attributs inclus par défaut dans le Catalogue global ont été choisis parce qu'ils ne sont pas modifiés très souvent et c'est préférable ainsi. L'utilisation d'informations statiques dans le Catalogue global minimise le trafic de réplication ; en effet, lorsqu'un attribut d'objet marqué pour une inclusion dans le Catalogue global est modifié, cette modification doit être répliquée sur tous les contrôleurs de domaine du Catalogue global dans l'ensemble de l'entreprise. En plus de minimiser le trafic de réplication, les informations statiques sont généralement mieux adaptées pour les recherches globales.

Conclusions

Les domaines Windows 2000 et les services Active Directory sont deux faces d'une même pièce de monnaie ; les domaines sont des limites administratives, ainsi que des limites de partitionnement et de réplication pour les services Active Directory. Tout comme la forêt Windows 2000 est la structure d'organisation englobant tout pour les domaines Windows 2000, la forêt Windows 2000 est la structure englobant tous les objets pour les services Active Directory, ainsi que la structure au sein de laquelle tous les objets sont définis par un seul schéma. Pour résumer, la structure de domaine est la structure des services Active Directory. Si vous ne comprenez pas le fonctionnement des domaines Windows 2000, vous ne pouvez pas comprendre comment opèrent les services Active Directory. C'est la raison pour laquelle les domaines ont fait l'objet de tant d'attention dans ce chapitre et dans cette partie du manuel.

La mise à l'échelle est possible dans Windows 2000 parce que les domaines de nécessitent plus la mise en place complète de relations d'approbation bidirectionnelles ; les approbations sont maintenant créées de manière implicite puis complétées lorsqu'un domaine Windows 2000 doit interagir avec des domaines de bas niveau ou lorsque des approbations doivent être établies avec des domaines n'appartenant pas à la forêt. Elle est aussi possible parce que le schéma de partitionnement au niveau du domaine des services Active Directory minimise l'impact de l'ajout de domaines, tant et si bien que les services Active Directory peuvent se mettre à l'échelle sur des réseaux aussi importants que le réseau Internet.

Malgré le partitionnement des services Active Directory et du modèle de domaine Windows 2000, la cohésion d'un environnement de réseau Windows 2000 est assurée grâce au Catalogue global. En conservant certains attributs d'objets dans un catalogue couvrant l'ensemble de l'entreprise, les attributs d'objets fréquemment recherchés sont tout de suite accessibles, quelle que soit l'origine de la requête ou l'emplacement où réside l'objet cible dans l'organisation.

Bien sûr, la maintenance de la terminologie d'un domaine Windows 2000 peut être difficile, tout comme la compréhension des raisons pour lesquelles de tels conteneurs organisationnels et hiérarchiques (tels que les forêts, les domaines et les unités d'organisation) ont été créés. Pour mieux comprendre, pensez aux associations libres suivantes entre les termes de domaines Windows 2000 et comment une grande organisation peut appliquer la structure à son environnement :

·             Limites d'une entreprise--forêts

·             Limites d'une société--arborescences

·             Limites d'une filiale--domaines

·             Limites d'un département--unités d'organisation

Mais que se passe-t-il si votre organisation ne correspond pas à cette structure ? Que se passe-t-il si vous n'êtes pas une entreprise ou une société ou si vous n'utilisez pas de limites entre les départements ? Si ces questions reflètent vos pensées, pas de panique--ces associations libres ne sont des lignes conductrices dont le but est de vous aider à comprendre comment les forêts, les arborescences, les domaines et les unités d'organisation peuvent satisfaire aux exigences et aux besoins des organisations de grande taille comme de petite taille. Vous n'avez peut-être pas besoin d'unités d'organisation ou vous n'avez peut-être besoin que d'un domaine (ce que vous pourrez déterminer après la lecture du Chapitre 7, « Planification d'un déploiement Active Directory »). Quoi qu'il en soit, il est une chose que vous devez garder à l'esprit lors des processus de planification, de déploiement et de gestion.

Faites simple.

Les domaines, les annuaires et la mise en réseau sont déjà assez complexes, inutile d'y ajouter un plan compliqué de déploiement. Le déploiement peut fonctionner avec un seul domaine ? Peut-il fonctionner avec seulement quelques unités d'organisation ? Formidable--alors n'utilisez qu'un domaine et quelques unités d'organisation. Vous retrouverez cet appel à la simplicité dans la Partie II de ce manuel parce que la simplicité fonctionne : faites simple, tout sera plus facile à gérer, à administrer et plus facile à utiliser pour vos utilisateurs. Après tout, n'est-ce pas là le but ?

Références

Les informations contenues dans cet article sont extraites du manuel Référence technique des services Active Directory pour Microsoft Windows 2000 publié par Microsoft Press.

Illustration du manuel Référence technique des services Active Directory pour Microsoft Windows 2000

En savoir plus Référence technique des services Active Directory pour Microsoft Windows 2000

Pour plus d'informations à propos de cette publication et des autres titres Microsoft Press, rendez-vous sur http://mspress.microsoft.com .

 

Dernière modification le : 11/01/2002

Mot(s) clé(s) : kbinfo KB310997

*************************