2 - Notion de Domaine Active Directory

Windows Server 2008
Notion de Domaine
Active Directory
Domaine :
Ensemble, organisé sous un nom commun, d’ordinateurs et d’utilisateurs inscrits dans une base
de données d’annuaire nommée Active Directory.
Le nom d’un domaine doit respecter la convention utilisée pour l’Internet :
Par exemple : mondomaine.com ou monentreprise.fr
Ainsi, si votre entreprise possède déjà un nom de domaine, vous pourrez l’utiliser pour intégrer
votre réseau dans l’espace de noms de l’internet. Si toutefois cette possibilité ne vous convient
pas, remplacez le nom du domaine racine par « .local » (exemple : mondomaine.local )
Les droits et stratégies d’accès aux différentes ressources du domaine sont régis par un groupe
d’utilisateurs nommé « Administrateurs ».
Un ensemble de domaines liés entre eux par des relations d’approbation sera appelé une forêt.
Serveur
DNS
Active
Directory
Active
Directory
Structure matérielle d’un domaine :
Contrôleur de Domaine
Windows 2003 Server
Client Windows 7 Pro
Contrôleur de Domaine
Windows 2008 Server
Client Windows Vista
Imprimante réseau
Serveur membre
Windows 2008
Contrôleur de domaine :
Un contrôleur de domaine est un ordinateur fonctionnant sous Windows server 2003 ou 2008,
sur lequel est installée la base d’annuaire Active Directory. Seuls les utilisateurs ayant le
statut d’administrateur pourront y ouvrir une session.
La résolution des noms d’ordinateurs au sein d’un domaine est assurée par un service DNS
généralement situé sur le premier contrôleur installé sur le réseau.
Du fait de leur continuité de service, les contrôleurs de domaine sont des ordinateurs surventilés, disposant d’alimentations ondulées redondantes et de disques durs échangeables à
chaud.
Pour d’évidentes raisons de sécurité, il est recommandé de disposer au minimum de deux
contrôleurs sur un même domaine ; toute modification de l’Active Directory apportée sur l’un
d’entre eux étant automatiquement répliquée sur les autres.
Serveur Membre :
Un serveur membre est un ordinateur fonctionnant sous Windows server 2003 ou 2008, sur
lequel n’est pas installée la base d’annuaire Active Directory.
Ce type de serveur assure généralement les tâches suivantes :
- Serveur d’impression
- Serveur D.H.C.P
- Serveur de fichiers
- Serveur d’intranet
Lors d’une montée en puissance d’un réseau, les serveurs membres sont utilisés pour alléger
la charge de travail des contrôleurs de domaine.
En cas de nécessité, un serveur membre Windows server 2008 peut être promu au rang de
Contrôleur de domaine à l’aide de la commande dcpromo.
Ordinateur client du domaine :
Pour être client d’un domaine, un ordinateur doit impérativement fonctionner sous un système
d’exploitation administrable tel que Windows 7 Professionnel, Windows Vista Professionnel
ou Windows XP Professionnel, et disposer d’une licence d’accès client.
Les ordinateurs fonctionnant sous Windows XP, Vista et Windows 7 familial peuvent certes
avoir accès à certaines ressources du domaine ( fichiers et imprimantes), mais ne seront
jamais correctement sécurisés.
Les ordinateurs clients servent de station de travail aux utilisateurs du domaine, et de ce fait,
hébergent généralement une suite bureautique, un logiciel de CAO ou un progiciel de gestion.
Utilisateurs du domaine :
Un utilisateur du domaine est défini par un login et un mot de passe d’ouverture de session. Il
peut se voir appliquer des limitations d’accès aux différentes ressources du domaine ( fichiers,
imprimantes, panneaux de configuration, …).
Sans restriction particulière, un utilisateur peut ouvrir une session sur tous les ordinateurs du
domaine.
Groupe d’utilisateurs :
Le regroupement d’utilisateurs permet l’application collective de droits et de restrictions
d’accès aux ressources du domaine.
Active Directory :
Les objets membres d’un domaine sont regroupés dans la base d’annuaire Active Directory :
Active Directory est exclusivement installé sur les serveurs élevés au rang de Contrôleur de
domaine.
Pour modifier le contenu de cette base d’annuaire, appelez l’outil d’administration « Utilisateurs
et ordinateurs Active Directory » en cliquant sur Menu Démarrer  Programme Outils
d’administration. Vous pouvez également exécuter la commande dsa.msc .
Organisation des domaines :
Il peut être intéressant de lier plusieurs domaines entre eux de manière à partager leurs
ressources. La structure d’Active Directory à été pensée à cet effet.
Organisation en « Arbre » :
Plusieurs domaines partageant un espace de noms contigu pourront être organisés en arbre.
Ainsi, après la création d’un domaine racine (Ex : tech3000.fr) pour le siège social d’une
entreprise, vous pourrez créer des domaines enfants pour chacune de ses filiales
( Ex : design.tech3000.fr et production.tech3000.fr )
Racine
tech3000.fr
design.tech3000.fr
production.tech3000.fr
Si toutefois vous désirez établir des relations d’approbation entre plusieurs domaines ne
partageant pas le même espace de noms, vous utiliserez alors une organisation en « forêt » :
Racine
tech3000.fr
prosud.com
Le domaine racine constitue le point de départ des deux types d’organisations présentées cidessus. Il sera donc créé en premier.