Archive pour le ‘Active Directory’ catégorie

Transfert des Operations Master

13 juin 2010

Nous avons vu dans l’article précèdent (ici) qu’Active Directory possède plusieurs rôles uniques pour avoir un fonctionnement optimal du système. Petit rappel des différents rôles : deux rôles concernent la forêt et trois autres rôles opèrent sur le domaine.

Les Maitres d’Operations pour la Forêt :

  • Maitre du Schéma Active Directory
  • Maitre de nom de domaine

Les Maitres d’Opération pour un domaine :

  • Maitre RID
  • Maitre d’Infrastructure
  • Maitre PDC

Tous les maitres d’opération jouent un rôle important dans le bon fonctionnement d’Active Directory. Ils doivent être constamment joignables par tous les autres domaine contrôleurs de la forêt ou du domaine. Lors d’une maintenance planifiée, ou d’un incident  sur un DC qui agit comme maitre d’opération, il est nécessaire de transférer le ou les rôles à un autre DC pour assurer la bonne continuité du système.

Dans Active Directory, il existe deux modes pour transférer un rôle sur un autre contrôleur de domaine : le transfert simple, lorsque les deux domaines contrôleurs sont joignables, et la prise de contrôle du rôle (seize). Cependant, lorsque l’on transfert proprement un rôle, celui-ci peut retourner à son origine sans aucune contrainte, ce qui n’est pas le cas avec la prise de contrôle. » En lire plus:Transfert des Operations Master

Pas de commentaires »

Posté dans Active Directory, Microsoft, Server

Tags:

Les Operations Masters d’Active Directory

18 avril 2010

Operation Master

Dans une infrastructure Active Directory (AD) tous les contrôleurs de domaine sont équivalents. Cela signifie que chaque modification apportée à votre base de données AD est automatiquement répliquée sur tous les autres contrôleurs de domaine (DC), c’est le mode dit de multi maitre. Tous les contrôleurs sont synchronisés et chacun peut apporter une modification. Il n’y a plus de notion maitre esclave.

Cependant, une architecture où tous les acteurs sont capables de décider et d’échanger les informations entre eux pose un problème : Comment être sûr de l’intégrité de certaines données nécessaire au bon fonctionnement du système ? Certains paramètres doivent être uniques dans votre infrastructure et un seul DC doit avoir le contrôle dessus.

Prenons l’exemple de l’heure, si le décalage entre le client et le contrôleur de domaine est supérieur à cinq (5) minutes, Kerberos refusera l’authentification du client. Or si deux DC ont des heures systèmes différentes, qui prendra le dessus sur l’autre, lequel fera office de Network Time Protocol (NTP) ? Un DC doit donc être désigné pour assurer seul ce rôle.

C’est pour résoudre ces différents problèmes que Microsoft a mis en place les rôles maitres d’Active Directory. Vous les avez peut-être déjà rencontrés avec des noms différents : Operations Master, Single Master Roles, Operations Tokens ou encore Flexible Single Master Operations (FSMO).

Nous verrons dans un premier temps les cinq différents rôles qui existent pour le service d’annuaire Active Directory, puis dans un second temps, comment les identifier. » En lire plus:Les Operations Masters d’Active Directory

2 commentaires »

Posté dans Active Directory, Microsoft

Gestion des objets Active Directory

23 juillet 2009

Lorsque l’on souhaite créer ou modifier un compte utilisateur Active Directory, on utilise généralement la console Active Directory Users and Computers.

Cependant, une deuxième solution s’offre à nous : les outils en ligne de commande. Ces utilitaires souvent passés sous silence sont plus puissants que la console graphique.

Ces outils en ligne de commande sont généralement plus rapides et modulables quand ils nous sont familiers. Il est également possible de les utiliser en script, ce qui facilite l’administration.

» En lire plus:Gestion des objets Active Directory

Pas de commentaires »

Posté dans Active Directory, Microsoft

Tags:

Stratégie de mot de passe granulaire sous Windows Server 2008

12 juin 2009

Si vous avez un domaine Active Directory sous Windows Server 2003, vous avez surement déjà essayé de définir plusieurs stratégies de mot de passe pour vos différents types d’utilisateurs.

Pour cela, vous avez créé plusieurs stratégies de groupe et vous les avez liés aux unités d’organisation de votre domaine.  Cependant, cette solution donne toujours le même résultat : seule la stratégie de mot de passe spécifiée au niveau du domaine s’applique, la Default Domain Policy.

Sous Windows Server 2003, il est  impossible de définir plusieurs stratégies de mot de passe pour le domaine.

Heureusement,  Windows Server 2008 autorise désormais la création de plusieurs stratégies de mot de passe, dites granulaires. Néanmoins, elles ne pourront s’appliquer que sur des comptes utilisateurs ou de groupes de sécurité et non sur des unités d’organisation. » En lire plus:Stratégie de mot de passe granulaire sous Windows Server 2008

Pas de commentaires »

Posté dans Active Directory, Microsoft

Tags: