Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

REPUBLIQUE DU SENEGAL Un peuple-Un But-Une Foi Institut Supérieur d’Informatiqu

REPUBLIQUE DU SENEGAL Un peuple-Un But-Une Foi Institut Supérieur d’Informatique Rapport sur les catalogues globaux, maitres d’opération et les relations d’approbations sur Active Directory Windows 2012 Server Professeur : Mr LO Présentés par  Mr Mame Cheikh Ibra NIANG  Mamadou Lamine DIAO  Latifa BARRY Master 1 Réseaux et Systèmes Informatiques Année académique : 2015-2016 Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo Introduction Active Directory est le service d'annuaire de Microsoft intégré aux versions serveur de Windows. Historiquement, Microsoft n'avait pas de service d'annuaire et beaucoup d'entreprises utilisaient le NDS de Novell. Ce service d'annuaire est basé sur le protocole le plus connu du domaine : LDAP. Ce protocole fonctionnant en TCP/IP, Microsoft a dû utiliser cette pile de protocoles en standard et faire reculer au second plan ses protocoles historiques : NETBIOS, WINS Ainsi, nous allons parler dans cette présentation des catalogues globaux, maitres d’opération et les relations d’approbations sur Active Directory Catalogue Global Définition Le catalogue global est l’ensemble de tous les objets d’une forêt AD DS (Active Directory Domain Services). Un serveur de catalogue global est un contrôleur de domaine qui enregistre une copie complète de tous les objets de l’annuaire pour son domaine hôte et une copie partielle en lecture seule de tous les objets pour tous les autres domaines de la forêt. Les serveurs de catalogue global répondent aux demandes de catalogue global. Information Lorsque vous installez les services de domaine Active Directory (Active Directory Domain Services), le catalogue global pour une nouvelle forêt est créé automatiquement sur le premier contrôleur de domaine de la forêt. Vous pouvez ajouter la fonctionnalité de catalogue global à des contrôleurs de domaine supplémentaires. Vous pouvez également supprimer le catalogue global d’un contrôleur de domaine. Un serveur de catalogue global :  recherche des objets. Le catalogue global permet aux utilisateurs d’effectuer des recherches d’informations d’annuaire dans tous les domaines d’une forêt, quel que soit l’emplacement de stockage des données. Les recherches dans une forêt sont effectuées avec une rapidité maximale et un trafic réseau minimal. Lorsqu’un utilisateur recherche des personnes ou des imprimantes à partir du menu Démarrer ou qu’il sélectionne l’option Tout l’annuaire dans une requête, cet utilisateur effectue une recherche dans l’ensemble du catalogue global. Après qu’un utilisateur a entré une demande de recherche, celle-ci est acheminée vers le port 3268 du catalogue global par défaut et envoyée à un serveur de catalogue global en vue de sa résolution. Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo  fournit une authentification des noms d’utilisateurs principaux. Un serveur de catalogue global résout un nom d’utilisateur principal (UPN, User Principal Name) lorsque le contrôleur de domaine authentificateur n’a pas connaissance du compte d’utilisateur. Par exemple, si le compte d’un utilisateur se trouve dans sales1.cohovineyard.com et que l’utilisateur se connecte avec un nom UPN de luis@sales1.cohovineyard.com depuis un ordinateur situé dans sales2.cohovineyard.com, le contrôleur de domaine dans sales2.cohovineyard.com ne peut pas trouver le compte de l’utilisateur et doit contacter un serveur de catalogue global pour effectuer le processus d’ouverture de session.  valide les références d’objets dans une forêt. Les contrôleurs de domaine utilisent le catalogue global afin de valider les références aux objets d’autres domaines dans la forêt. Lorsqu’un contrôleur de domaine détient un objet d’annuaire avec un attribut qui contient une référence à un objet situé dans un autre domaine, le contrôleur de domaine valide la référence en contactant un serveur de catalogue global.  fournit des informations sur l’appartenance aux groupes universels dans un environnement à domaines multiples. Un contrôleur de domaine peut toujours découvrir les appartenances aux groupes globaux et aux groupes locaux de domaine pour tout utilisateur dans son domaine, et l’appartenance à ces groupes n’est pas répliquée dans le catalogue global. Dans une forêt à domaine unique, un contrôleur de domaine peut toujours découvrir les appartenances aux groupes universels. Toutefois, les groupes universels peuvent avoir des membres dans différents domaines. Pour cette raison, l’attribut member des groupes universels, qui contient la liste des membres du groupe, est répliqué dans le catalogue global. Lorsqu’un utilisateur d’une forêt à domaines multiples ouvre une session sur un domaine où les groupes universels ne sont pas autorisés, le contrôleur de domaine doit contacter un serveur de catalogue global afin de récupérer toute appartenance de l’utilisateur aux groupes universels dans d’autres domaines. Si aucun serveur de catalogue global n’est disponible lorsqu’un utilisateur ouvre une session sur un domaine où des groupes universels sont disponibles, l’ordinateur client de l’utilisateur peut utiliser des informations d’identification mises en cache pour ouvrir une session si l’utilisateur s’est déjà connecté au domaine auparavant. Si l’utilisateur ne s’est encore jamais connecté au domaine, il peut ouvrir une session uniquement sur l’ordinateur local. Attributs répliqués dans le catalogue global Les copies partielles en lecture seule des objets qui composent le catalogue global sont décrites comme « partielles » car elles incluent un ensemble limité d’attributs : ceux qui sont requis par le schéma plus ceux qui sont le plus couramment utilisés dans les opérations de recherche d’utilisateur. Ces attributs sont marqués pour inclusion dans le jeu d’attributs partiel dans le cadre de leurs définitions de schéma. Le fait de stocker les attributs les plus souvent recherchés de tous les objets de domaine dans le catalogue global rend les recherches plus performantes Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo pour les utilisateurs sans toutefois affecter les performances réseau avec des références inutiles vers des contrôleurs de domaine et sans exiger qu’un catalogue global ne stocke de grandes quantités de données inutiles. Maitres d’opération Définition Le Maître d’opérations (master operation en anglais) désigne certains types de contrôleurs de domaine dans Active Directory, de Microsoft. Ce sont ceux qui jouent un rôle nécessitant un maître unique pour la réplication entre contrôleurs de domaine ; certains rôles sont uniques pour tous les domaines de la forêt ; d’autres rôles sont plus simplement uniques à l’intérieur d’un domaine. Information Nous avons les types de maitres d’opération suivant : Maître d’opérations unique à l’intérieur d’une forêt de domaine Maître d’opérations unique à l’intérieur d’une forêt de domaine  Le maître de schéma qui gère la modification du schéma sur le serveur et sa réplication sur les autres contrôleurs de domaine. À un instant donné, il ne peut y avoir qu’un seul maître de schéma dans une forêt de domaines.  Le maître d’attribution de noms de domaine (Domain Naming Master) qui gère l’ajout et la suppression de domaine dans une forêt. À un instant donné, il ne peut y avoir qu’un seul maître de ce type dans une forêt de domaines. Maître d’opérations unique à l’intérieur d’un simple domaine Maître d’opérations unique à l’intérieur d’un simple domaine  Le maître RID (Relative IDentifier) qui alloue un identificateur relatif à l’intérieur d’un domaine (pour un utilisateur, un groupe ou tout autre objet géré par Active Directory). L’association de ce RID avec l’identificateur du domaine forme le SID (l’identificateur de sécurité). Le maître RID gère aussi le déplacement d’un objet d’un domaine à un autre, à l’intérieur de la forêt. À un instant donné, il ne peut y avoir qu’un seul maître RID dans un domaine.  Le maître d’infrastructure qui maintient les SID (identificateurs de sécurité) et les GUID. Le plus souvent, il s’agit seulement de maintenir les liens entre les utilisateurs et les groupes auxquels ils appartiennent.  Émulateur d'un contrôleur de domaine principal de NT 4.0 (en anglais, un PDC Primary Domain Controller, voir (en) Primary Domain Controller). C'est aussi ce contrôleur de domaine qui est choisi préférentiellement pour Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo  la réplication vers les autres contrôleurs de domaine pour les changements de mots de passe  comme serveur de temps, w32time, basé sur le protocole SNTP (Simple NTP) Ces différents rôles peuvent facilement être déplacés d'un contrôleur de domaine à un autre en utilisant  Outils Utilisateurs et ordinateurs Active Directory (dsa.msc) Pour l'acronyme DSA, voir (en) Directory System Agent ; pour l'extension MSC, voir (en) MMC (Microsoft Management Console)  L'outil ntdsutil : Un utilitaire en ligne de commande Maître d’opérations et Maître d’opérations et Catalogue GlobalCatalogue Global Lors de la création d’une forêt de domaines, le premier contrôleur de domaine créé est aussi par défaut le serveur de Catalogue Global. Le Catalogue Global a plusieurs fonctions : Il stocke les informations sur tous les objets, gère les requêtes sur ces objets et leurs attributs, il autorise ou refuse la connexion d’un utilisateur à un domaine Certains maîtres d’opérations peuvent être aussi serveur de Catalogue Global ou, indirectement, dépendre d’un serveur de Catalogue Général. Par exemple, il est préférable qu'un maître d’infrastructure ne soit pas hébergé par le même contrôleur de domaine que le serveur de Catalogue Global dans une forêt de domaines (à moins que tous les contrôleurs de domaine ne soient aussi serveurs de Catalogue Global). À l’inverse, un maître d’attribution de noms de domaine devrait être hébergé seulement sur un contrôleur de domaine qui est aussi serveur uploads/Management/catalogue-global-maitres-d-x27-operations-relations-d-x27-approbations.pdf