Résumé À l'heure actuelle, plus de 60 des serveurs sont fournis avec Microsoft® Windows® Server








télécharger 1.11 Mb.
titreRésumé À l'heure actuelle, plus de 60 des serveurs sont fournis avec Microsoft® Windows® Server
page6/24
date de publication03.04.2018
taille1.11 Mb.
typeRésumé
p.21-bal.com > droit > Résumé
1   2   3   4   5   6   7   8   9   ...   24

Descriptif technique


Les douze points suivants proposent une vue d’ensemble des principales technologies et fonctionnalités offertes dans Windows Server 2003 Enterprise Edition. Le tableau comparatif présenté à la section suivante récapitule les fonctionnalités des différentes éditions de la famille Windows Server 2003. Il distingue les nouveautés et les améliorations apportées par rapport à Windows 2000 Server.

Active Directory™

Introduction


Active Directory™ est le service d’annuaire de Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition et Windows Server 2003 Datacenter Edition. Il stocke des informations relatives aux objets du réseau et rend ces informations aisément accessibles pour les administrateurs et les utilisateurs, grâce à une organisation logique et hiérarchisée des données d'annuaire. Cette section propose une vue d’ensemble des avantages, des nouvelles fonctionnalités et des améliorations apportées à Active Directory™ dans Windows Server 2003.

Avantages


Le nouvel Active Directory™ présente des avantages stratégiques essentiels pour les PME/PMI et les grandes entreprises. Windows Server 2003 étend Windows 2000 en améliorant la polyvalence, l’exploitabilité et la fiabilité d’Active Directory™. Les entreprises peuvent dès lors réduire davantage les coûts tout en augmentant l’efficacité avec laquelle elles partagent et gèrent les différentes composantes de l'entreprise.


Avantage

Description

Souplesse accrue

Active Directory™ présente de nouvelles fonctionnalité qui en font l’une des structures d’annuaire les plus souples actuellement sur le marché. Avec un nombre toujours plus important d'applications recourant aux services d’annuaire, les organisations peuvent utiliser les fonctionnalités d’Active Directory™ pour gérer les réseaux d’entreprise les plus complexes.

Depuis les centres de données Internet jusqu’aux entreprises comptant un grand nombre de filiales, les innovations qu’offre Windows Server 2003 simplifient l’administration et améliorent les performances et l’efficacité, ce qui en fait une solution véritablement polyvalente.

Réduction du coût total de possession

Active Directory™ a été perfectionné afin de réduire le coût total de possession (TCO) et d’exploitation au sein de l’entreprise. De nouvelles fonctionnalités et des améliorations ont été incorporées à tous les niveaux pour offrir une plus grande polyvalence, simplifier la gestion et accroître la fiabilité.

Par ailleurs, les fonctionnalités d’Active Directory™ permettent désormais de gérer vos clients et vos partenaires par le biais d’un déploiement en tant qu'annuaire Internet ou d'extranet en plus de la gestion des utilisateurs Windows. Le déploiement d’Active Directory™ dans ces nouveaux rôles réduit encore le coût total de possession, car vous avez la possibilité d’utiliser une seule technologie d’annuaire pour tous les rôles.

Fonctionnalités et améliorations


Windows Server 2003 apportera de nombreuses améliorations au niveau d’Active Directory™, qui deviendra encore plus polyvalent, fiable et économique.


Fonctionnalité

Description

Approbation et gestion inter-forêts

Les utilisateurs peuvent accéder en toute sécurité aux ressources des autres forêts en bénéficiant toujours des avantages offerts par l’ouverture de session unique : ils n'ont besoin que du seul nom d’utilisateur et mot de passe gérés dans leur propre forêt.

Des fonctionnalités de sécurité supplémentaires facilitent la gestion de plusieurs forêts et des relations d’approbation entre domaines. Un nouveau gestionnaire d'informations d'identification fournit un espace de stockage sécurisé pour les informations d’identification des utilisateurs et les certificats X.509. En outre, un nouveau type d’approbation Windows (Forest trust) permet de gérer les relations de sécurité entre deux forêts ; cela simplifie considérablement l’administration de la sécurité et l’authentification inter-forêts.

Possibilité de changer le nom d’un domaine

Il est possible désormais de modifier les noms DNS (Domain Name System) et/ou NetBIOS des domaines existants d’une forêt sans compromettre l’intégrité de ladite forêt. Cette fonctionnalité s'avère particulièrement utile lorsqu’une entreprise est obligée de changer des noms des domaines. C’est le cas notamment si le nom de la société change ou lorsque deux sociétés fusionnent et souhaitent uniformiser les noms de domaines. L’utilisation de la fonction de changement de nom de domaine (Domain Rename) est beaucoup plus efficace que les méthodes traditionnelles, lesquelles exigent parfois la création d’un nouveau domaine et la migration de tous les objets, utilisateurs et ordinateurs, vers ce nouveau domaine.

L’identité d’un domaine renommé, représentée par son identifiant universel unique (GUID, Globally Unique ID) et par son identifiant de sécurité (SID, Security ID), ne change pas. Par ailleurs, l’appartenance d’un ordinateur à un domaine ne change pas non plus si ce domaine est renommé.

Bien que cette fonctionnalité permette de modifier le nom d’un domaine, elle n’est pas considérée comme une opération informatique de routine, ni prévue à cet effet. Un changement de nom de domaine provoquera une interruption de service nécessitant le redémarrage de chaque contrôleur de domaine. En outre, chaque ordinateur membre du domaine renommé devra être redémarré deux fois.

Désactivation des attributs et des définitions de classes du schéma

Active Directory™ est plus souple qu’auparavant ; il est désormais possible de désactiver des attributs et des définitions de classes dans le schéma Active Directory. Ces attributs et ces classes peuvent être redéfinis en cas d’erreur dans la définition d’origine. La désactivation est réversible ; il est donc possible d’annuler une désactivation accidentelle sans aucune conséquence négative. Par exemple, en cas d’ajout erroné d’un nouvel objet de schéma dans l’annuaire, l’administrateur peut recourir à cette fonction pour désactiver l’objet en question et réintroduire sa définition correcte.

Il est impossible de mettre à niveau un contrôleur de domaine Windows 2000 vers une version serveur plus récente si un nouvel objet de schéma introduit dans le schéma Active Directory™ de cette nouvelle version est en conflit avec une extension de schéma ajoutée par un utilisateur. L’administrateur peut recourir à la fonctionnalité de désactivation de schéma pour supprimer l’objet de schéma en cause, afin que la mise à niveau du système puisse continuer.

Cette fonctionnalité offre également aux développeurs plus de liberté dans la configuration d’Active Directory™. Si, par exemple, un développeur introduit au cours du développement d’une nouvelle application des attributs et des classes sous forme d’extensions du schéma Active Directory, et qu’il réalise ensuite qu’il faut modifier la définition d’un attribut, cette fonctionnalité lui permet d’opérer cette modification tout en préservant l’identité de l’attribut.

Cela est vrai également si plusieurs applications qui étendaient le schéma Active Directory ont été remplacées par une nouvelle application utilisant le schéma Active Directory. Cette fonctionnalité permet aux administrateurs de désactiver les objets de schéma obsolètes des applications remplacées ; de cette façon, ces objets ne provoquent pas de conflit avec les nouvelles extensions qui seraient installées.

Prise en charge de la classe inetOrgPerson

Grâce à cette innovation, l’administrateur peut transférer les objets inetOrgPerson d’un annuaire LDAP vers Active Directory™, comparer les informations d’Active Directory™ avec celles d’autres annuaires LDAP ou créer des objets inetOrgPerson dans Active Directory™. Les éditeurs de logiciels peuvent migrer facilement vers Active Directory™ des applications basées sur la classe inetOrgPerson.

Active Directory™ prend en charge la définition des objets utilisateurs basés sur la classe inetOrgPerson, selon la norme RFC 2798. La prise en charge des attributs du schéma de base pour ces objets utilisateur est également assurée. L’interface utilisateur (UI) employée pour les objets utilisateur prend également en charge les objets inetOrgPerson. D'autres fonctionnalités annexes comprennent notamment un mot de passe défini au moment de la création de l’utilisateur, un nom de compte SAM créé automatiquement si aucun n’est fourni et la possibilité d'utiliser l’attribut userPassword pour définir le mot de passe du compte avec du texte standard.


Installation d’un réplica à partir d’un support

Au lieu de répliquer l’intégralité de la base de données Active Directory™ à travers le réseau, l’administrateur peut désormais lancer la réplication initiale à partir des fichiers créés lors de la sauvegarde d’un contrôleur de domaine (DC) existant ou d’un serveur de catalogue global (GC, Global Catalog). Cela est utile en particulier lorsque la bande passante est très sollicitée ou limitée. Une société peut, par exemple, vouloir déployer un contrôleur de domaine sur un site distant doté d’une connexion réseau à faible bande passante. Dans ce cas, la réplication de l'annuaire complet à travers ce lien peut prendre beaucoup de temps.

Les fichiers de sauvegarde, générés par n’importe quel utilitaire de sauvegarde compatible avec Active Directory™, peuvent être transférés sur le contrôleur de domaine à déployer par le biais d’un support quelconque. Il peut s’agir d’une bande, d’un CD, d’un DVD ou alors d’une copie de fichiers via un réseau.

Pour bénéficier de cette fonctionnalité, vous devez exécuter l’Assistant Installation d’Active Directory™ en mode Avancé (dcpromo.exe/adv).

Réplication améliorée des membres d'un groupe

Lors de l’ajout, de la modification ou de la suppression des membres d’un groupe, seules ces modifications sont répliquées. L’utilisation de la bande passante du réseau et du processeur s’en trouve réduites, et le risque de perte de ces mises à jour lorsqu’elles sont concomitantes est virtuellement éliminé. Dans Windows 2000 Active Directory™, l’appartenance à un groupe est stockée et répliquée globalement. Par conséquent, le moindre changement apporté à un groupe comportant de nombreux membres entraîne la réplique complète, ce qui consomme énormément de bande passante du réseau et accroît la charge sur le processeur. De plus, si l’appartenance à un groupe est mise à jour simultanément sur deux ou plusieurs contrôleurs de domaine Windows 2000, il existe un risque potentiel de perte de mises à jour lors de la résolution de conflits de réplication.

Lorsqu’une forêt est promue en mode de forêt natif Windows Server 2003, l’appartenance aux groupes est modifiée afin de stocker et répliquer les paramètres de chaque membre plutôt que le groupe dans son ensemble.

Quand un administrateur effectue des mises à jour des groupes de sécurité ou des listes de distribution sur un contrôleur de domaine s’exécutant dans le mode de forêt natif de Windows Server 2003, l’intégrité de ces mises à jour est préservée.




Connexion plus aisée pour les sites distants (agences)

Les problèmes de connexion entre un site secondaire (succursale, agence) et un catalogue global n'empêchent plus les utilisateurs d'ouvrir des sessions. Les sites distants équipées de contrôleurs de domaine permettent aux utilisateurs de se connecter par le biais d’informations d’identification mises en cache. Il n’est alors plus nécessaire de contacter d’abord le catalogue global, ce qui améliore les performances et la robustesse du système sur des réseaux WAN peu fiables.

Dans Windows 2000, lors du traitement d’une ouverture de session d'un utilisateur dans un domaine en mode natif, un contrôleur de domaine doit contacter un serveur de catalogue global afin de déterminer l’appartenance de l’utilisateur à des groupes universels. Certaines organisations ont par conséquent dû déployer des serveurs de catalogue global dans leurs site secondaire afin d’éviter les échecs d'ouverture de session en cas d'interruption de la liaison réseau connectant leur site au reste de l’organisation.

Dans Windows Server 2003, les contrôleurs de domaine d’un site sans serveur de catalogue global peuvent être configurés, via le composant logiciel enfichable Sites et services d’Active Directory™, afin de stocker en cache les recherches d’appartenance aux groupes universels lors du traitement des ouvertures de session des utilisateurs. Le contrôleur de domaine peut alors traiter les ouvertures de session sans avoir à contacter de catalogue global, ou lorsque le serveur de catalogue global est inaccessible. Les appartenances aux groupes des utilisateurs qui se connectent au contrôleur de domaine du site seront stockées dans le cache. Ce dernier sera réactualisé régulièrement, selon la planification de réplication. Cela permet également de réduire les besoins en bande passante pour la réplication.

Meilleures performances

Windows Server 2003 gère plus efficacement la réplication et la synchronisation des informations d’Active Directory™. Les administrateurs sont mieux à même de contrôler les types d’informations à répliquer et à synchroniser entre les contrôleurs de domaine, tant au sein d’un même domaine qu’entre différents domaines. Par ailleurs, Active Directory™ propose davantage de fonctionnalités pour sélectionner la réplication des seules informations qui ont été modifiées. Il n’est donc plus nécessaire de mettre à jour des portions entières de l’annuaire.

Synchronisation améliorée

Une entreprise peut exploiter plus efficacement ses activités grâce à cette fonctionnalité. Lors de l’extension du jeu d’attributs partiel (PAS, Partial Attribute Set) du catalogue global, à l’occasion par exemple du déploiement d’une application d'entreprise ou d’une tâche administrative quelconque, les nouvelles fonctionnalités permettent de réduire l'impact sur l’infrastructure réseau de l’administrateur. Cette innovation est particulièrement importante pour les administrateurs gérant des annuaires volumineux et pour ceux responsables de réseaux mondiaux comprenant des liaisons lentes.

Avec Windows 2000, le jeu d’attributs partiel du catalogue global requiert, lors de la propagation du PAS étendu (par l’ajout d’un attribut), que le catalogue global déclenche un cycle de synchronisation complet de son contexte d’appellation (NC, Naming Context) en lecture seule. Cette opération permet d’être à jour par rapport à l’image de réplica étendu par les attributs sur les autres contrôleurs de domaine.

Cette fonctionnalité permet désormais de préserver l’état de synchronisation du catalogue global (plutôt que de le redéfinir) et de réduire l’ampleur de la tâche et la quantité de données dupliquées lors de la propagation d’un PAS étendu au sein de l’entreprise.




Meilleure fiabilité

Active Directory™ comporte plusieurs nouvelles fonctionnalités chargées d’améliorer la fiabilité. Citons notamment le « Health Monitoring », qui permet aux administrateurs de vérifier les réplications entre contrôleurs de domaine, une meilleure réplication du catalogue global et un générateur de topologie inter-site (ISTG,Inter-Site Topology Generator) amélioré et plus évolutif permettant de prendre en charge des forêts comportant un plus grand nombre de sites que dans Windows 2000.

Le processus qui, dans Windows 2000, créait automatiquement les connexions de réplication entre les contrôleurs de domaine de différents sites ne pouvait pas être utilisé quand la forêt contenait un trop grand nombre de sites. Dans ce cas, les administrateurs devaient créer et gérer manuellement des topologies de réplication inter-site.

Dans Windows Server 2003, le générateur de topologie inter-site (ISTG) a été perfectionné. Il utilise désormais des algorithmes plus performants et il est en mesure de prendre en charge des forêts contenant beaucoup plus de sites que dans Windows 2000. Dans la mesure où tous les contrôleurs de domaine de la forêt exécutant le rôle ISTG doivent s’accorder sur la topologie de réplication inter-site, les nouveaux algorithmes ne sont activés que lorsque la forêt dispose du niveau fonctionnel offert par la famille Windows Server 2003 pour Active Directory™. (décrit dans la fonctionnalité Active Directory™ : niveaux de fonctionnalités des forêts et des domaines.)

Une fois que l’administrateur a mis à niveau la forêt avec les fonctionnalités de la famille Windows Server 2003, Active Directory™ utilise automatiquement le nouvel ISTG pour créer la topologie de réplication inter-site.

Désactivation de la compression de la réplication entre les sites

Lorsqu’un certain nombre de sites sont connectés via un réseau haute vitesse et que la bande passante n’est pas un problème, vous avez la possibilité de désactiver la compression de la réplication entre des contrôleurs de domaine résidant sur des sites différents. Cela permet de réduire l’utilisation du processeur des contrôleurs de domaine et d’augmenter leur disponibilité.

Niveaux fonctionnels des forêts et des domaines

Dans Active Directory™, certaines fonctionnalités, par exemple la réplication améliorée de l’appartenance aux groupes et le générateur de topologie inter-site, ne sont pas disponibles tant que les contrôleurs de domaine d’une forêt n’ont pas été mis à niveau vers la famille Windows Server 2003.

Les niveaux fonctionnels des forêts et des domaines offrent un mécanisme de gestion des versions que les composants fondamentaux d’Active Directory™ peuvent utiliser pour identifier les fonctionnalités disponibles dans une forêt ou un domaine. Ils permettent également d’éviter que les contrôleurs de domaine d’ordinateurs exécutant des systèmes d’exploitation antérieurs à Windows Server 2003 ne se joignent à une forêt ou à un domaine utilisant des fonctionnalités Active Directory™ qui s’appliquent uniquement à un système d’exploitation Windows Server 2003.

S’il veut bénéficier du niveau de fonctionnalité des domaines Windows Server 2003, l’administrateur peut avancer la forêt ou le domaine au niveau fonctionnel Windows Server 2003, une fois que tous les contrôleurs de domaine de cette forêt ou de ce domaine ont été mis à jour pour utiliser le système d'exploitation Windows Server 2003. L’utilitaire NTDSUTIL est fourni à cet effet.




Mise à niveau des forêts et des domaines avec ADPrep

Active Directory™ offre un meilleur niveau de sécurité ainsi qu’une meilleure prise en charge des applications. Pour que le premier contrôleur de domaine qui utilise le système d'exploitation Windows Server 2003 puisse être mis à niveau dans une forêt ou un domaine existant, ces derniers doivent d’abord être préparés pour ces nouvelles fonctionnalités. ADPrep est un nouvel outil conçu pour faciliter la mise à niveau des forêts et des domaines. Cet outil n’est pas nécessaire dans le cadre d’une mise à niveau à partir de Windows NT 4 ou d’une installation « propre » d’Active Directory™ sur des serveurs utilisant le système d'exploitation de la famille Windows Server 2003.

Pour préparer la forêt, l’administrateur doit exécuter adprep /forestprep sur le maître d'opérations du schéma. Dans le cas d'un domaine, l’administrateur doit exécuter adprep /domainprep sur le maître d'opérations de l’infrastructure dans chaque domaine.

Protocole LDAP

Le protocole LDAP (Lightweight Directory Access Protocol), standard de l’industrie, est le principal protocole d’accès utilisé dans Active Directory™. LDAP version 3 a été défini par l’IETF (Internet Engineering Task Force, organe international des standards d’Internet). Fidèle à ses engagements, Microsoft incorpore les modifications de cette norme dans Active Directory™. Les administrateurs, les développeurs d’applications et les éditeurs de logiciels tiers y gagnent car ils peuvent tirer parti des derniers développements apportés à la norme LDAP.

La famille Windows Server 2003 offre plusieurs améliorations au niveau de l’implémentation client et serveur du protocole LDAP :

  • Prise en charge des entrées dynamiques : Active Directory™ peut accueillir des entrées dynamiques, conformément à la norme RFC 2589 des protocoles standard de l’IETF. Il est possible d'attribuer aux entrées d'annuaire des valeurs TTL (Time-To-Live) qui déterminent à quel moment les entrées seront automatiquement supprimées.

  • Prise en charge de TLS (Transport Layer Security) : il est maintenant possible de protéger les connexions à Active Directory™ sur LDAP grâce au protocole de sécurité TLS standard de l’IETF, conformément à la norme RFC 2830.

  • Prise en charge du mécanisme d’authentification Digest. il est désormais possible d’authentifier les connexions à Active Directory™ sur LDAP grâce au mécanisme d’authentification SASL DIGEST-MD5, conformément à la norme RFC 2829.

  • Protocole VLV (Virtual List Views) : lorsqu’une requête LDAP aboutit à un jeu de résultats volumineux, il n’est guère intéressant pour l’application cliente de récupérer tous les résultats depuis le serveur. Le VLV lui permet « d’ouvrir une fenêtre » dans l’ensemble des résultats sans avoir à en transférer l’intégralité à partir du serveur. Le protocole VLV a été défini par le groupe de travail chargé des extensions à l’IETF.

  • Prise en charge des classes auxiliaires dynamiques : Active Directory™ accepte désormais l’association dynamique d’une classe auxiliaire (qui ajoute les attributs qu’elle définit) avec des instances d’objet individuelles. Dans Windows 2000, une classe auxiliaire ne pouvait être associée que de manière statique à une définition de classe structurelle dans le schéma. En d'autres termes, toutes les instances de cette classe structurelle héritaient des attributs de la classe auxiliaire qui leur était ajoutée.

  • Prise en charge des connexions rapides pour l’authentification et de la réutilisation des connexions : à la demande de nombreux éditeurs de logiciels et développeurs d’applications, Active Directory™ a été perfectionné pour prendre en charge les connexion rapides et la réutilisation des connexions. En effet, de nombreuses applications Web utilisent Active Directory™ comme espace d’authentification. Grâce aux connexions rapides, une application Web ou autre peut demander une simple vérification d’authentification depuis Active Directory™ sans devoir générer les informations d’autorisation spécifiques à Windows. Inutile de dire que les performances de ces applications s’en trouvent améliorées. Une application peut par ailleurs réutiliser une connexion précédente à l’annuaire pour plusieurs requêtes émanant de différents utilisateurs. Cela améliore également les performances, puisque l’application n’a pas besoin de rétablir une connexion pour chaque requête. Ces perfectionnements sont particulièrement intéressants pour les applications Web qui ont à traiter d’innombrables requêtes Internet.

Prise en charge des méta-annuaires

MMS (Microsoft Metadirectory Services) permet aux entreprises d’intégrer les informations d’identification issues de multiples annuaires, bases de données et fichiers avec Active Directory™. MMS fournit une organisation avec une vue globale des informations d’identification permet l’intégration de processus métier et facilite la synchronisation des informations d’identification dans toute l’entreprise.

Amélioration du contrôle DirSync

Windows 2000 Active Directory™ prend en charge un contrôle LDAP, le contrôle DirSync, pour extraire des informations modifiées de l’annuaire. Le contrôle DirSync a la possibilité d’effectuer des contrôles d’accès analogues à ceux réalisés sur des recherches LDAP normales.

Fournisseurs WMI pour la surveillance de la réplication et des relations d’approbations

La surveillance des relations d’approbations et de la réplication Active Directory™ devient plus simple grâce à Windows Management Instrumentation (WMI). Des classes WMI fournies à cette fin permettent de vérifier si les contrôleurs de domaine répliquent correctement les données Active Directory™ entre eux. Comme de nombreux composants Windows 2000, notamment la réplication Active Directory™, reposent sur un système d’approbation inter-domaine, cela offre en outre un moyen de s’assurer que les approbations fonctionnent correctement.

Les administrateurs ou les développeurs de logiciels indépendants peuvent également recourir à cette méthode pour écrire des scripts ou des applications chargés de surveiller le bon déroulement de la réplication Active Directory™ et des relations d’approbations inter-domaines.

Partitionnement de l’annuaire

Certaines informations de l’annuaire n’ont pas besoin d’être disponibles systématiquement. Cette fonctionnalité offre la possibilité d’héberger des données dans Active Directory™ sans impact notoire sur les performances du réseau, en permettant de contrôler l'étendue de la réplication et l’emplacement des réplicas.

Les services Active Directory™ permettront de créer d’un nouveau type de contexte d’appellation (NC, Naming Context), ou partition, appelé partition d’application. Ce contexte d’appellation peut comporter une hiérarchie de n’importe quel type d’objet, à l’exception des entités de sécurité (utilisateurs, groupes et ordinateurs). Il peut par ailleurs être configuré pour être répliqué sur n’importe quel ensemble de contrôleude domaine de la forêt, lesquels ne devant pas obligatoirement faire partie du même domaine.

En d'autres termes, les données dynamiques de services réseau tels que l’accès à distance (RAS), RADIUS, le protocole DHCP (Dynamic Host Configuration Protocol) et le service COPS (Common Open Policy Service) peuvent résider dans un annuaire de sorte que les applications puissent y accéder uniformément avec toujours la même méthode d’accès. Les développeurs pourront ainsi écrire des données d’applications destinées à des partitions d'annuaire d'applications dédiées plutôt qu’à une partition de domaine.




Système de suppression des objets fantômes

Cette innovation permet d’éviter les incohérences entre les différents réplicas d’Active Directory™. Celles-ci peuvent à terme poser des problèmes de sécurité et un accroissement inutile de la base de données Active Directory™. Des objets persistants peuvent en effet subsister dans Active Directory™ du fait d’une longue période d’indisponibilité d’un contrôleur de domaine, au cours de laquelle la durée de vie des objets fantômes (« tombstone ») est arrivée à expiration et ces objets fantômes ont été supprimés d'Active Directory. Ce système offre la possibilité de supprimer les objets persistants d’Active Directory™.

Prévention de la surcharge des contrôleurs de domaine

Cette fonctionnalité permet d’éviter la surcharge du premier contrôleur principal de domaine Active Directory™ introduit dans un domaine qui contient déjà de très nombreux membres mis à niveau, exécutant Windows 2000 et Windows Server 2003.

Cela est utile lorsqu’un domaine Windows NT4 contient des serveurs membres exécutant Windows 2000, Windows XP Professionnel et Windows Server 2003. Quand un contrôleur principal de domaine (PDC) est mis à niveau vers Windows 2000 Service Pack 2 ou la famille Windows Server 2003, il peut être configuré pour émuler le comportement d’un contrôleur de domaine Windows NT4. Les membres du domaine en Windows 2000 et Windows Server 2003 ne feront pas la différence entre les contrôleurs de domaine mis à niveau et les contrôleurs de domaine Windows NT4. Pour répondre aux besoins spécifiques des administrateurs système, les membres exécutant Windows 2000 Service Pack 2 et Windows Server 2003 peuvent être configurés pour demander à un contrôleur de domaine exécutant Windows 2000 Service Pack 2 et la famille Windows Server 2003 de ne pas émuler le comportement d’un contrôleur de domaine Windows NT4 quand ils répondent à ces membres. Cette configuration est réalisée dans l’Éditeur du Registre.

Suppression des restrictions RDN non conforme à X500

Dans Active Directory™, l’attribut d’appellation (également appelé « nom unique relatif » ou RDN, Relative Distinguished Name), est défini dans le schéma pour chaque classe. Par exemple, la classe des utilisateurs utilise le nom commun (CN, Common Name) comme attribut d’appellation. Les classes qui ne définissent pas d’attribut d’appellation héritent de celui de leur classe parente. Une fois qu’un attribut d’appellation est sélectionné, il ne peut plus être modifié. Active Directory™ exige par ailleurs que les noms uniques relatifs n’existent qu’en un seul exemplaire au sein d’un conteneur. Il est par conséquent impossible que deux utilisateurs aient le même nom unique relatif dans un même conteneur.

Cette fonctionnalité a été perfectionnée dans la famille Windows Server 2003 ; il est maintenant possible de supprimer inetOrgPerson (qui utilise le nom commun (CN) comme attribut d’appellation dans le schéma par défaut) et de le recréer en utilisant n’importe quel attribut de chaîne Unicode comme attribut d’appellation. N’importe quel autre attribut que le nom commun peut être utilisé comme d’attribut d’appellation.

Par exemple, si plusieurs utilisateurs ont le même nom dans une unité d’organisation, cette méthode doit permettre à l’administrateur de choisir un attribut d’identification qui éliminerait tout risque de conflit de nom. C’est le cas également lorsque des annuaires sont fusionnés, lors d’un rachat d’entreprise par exemple. En effet, si une société en rachète une autre qui utilise un annuaire LDAP différent, employant un autre attribut d’appellation pour ses objets inetOrgPerson, l’administrateur peut recourir à cette fonctionnalité pour modifier l’attribut d’appellation puis migrer les objets inetOrgPerson de l’annuaire LDAP vers Active Directory™.
1   2   3   4   5   6   7   8   9   ...   24

similaire:

Résumé À l\Résumé Ce document contient des informations sur le fournisseur Microsoft...

Résumé À l\Résumé L’objectif de ce livre blanc est de présenter les modèles...
«Obtenir des licences de produits serveurs Microsoft dans des environnements virtuels»

Résumé À l\Les billets sont un peu plus grands qu’à l’heure actuelle : 1, 2,...

Résumé À l\Résumé : Ce livre blanc décrit la fonctionnalité filestream de sql...

Résumé À l\Les réseaux informatiques qui permettaient à leur origine de relier...

Résumé À l\1) Parmi les commandes suivantes, lesquelles peuvent être utilisées...

Résumé À l\Situation actuelle
«Kentish» au dépens de l’Angleterre avec l’équipe de France masculine militaire à Dijon (entraîneur adjoint)

Résumé À l\Situation actuelle
«Kentish» au dépend de l’Angleterre avec l’équipe de France masculine militaire à Dijon (entraîneur adjoint)

Résumé À l\Esthétique des Bétons, qu’est-ce que c’est ?
«banches» qui sont des outils empruntés aux constructions en terre, a, dès l’origine, suscité l’ingéniosité créative de l’homme :...

Résumé À l\Résumé : Pour réussir une distribution de documents pédagogiques...
«seconde main». Le réalisme impose alors d’utiliser des systèmes d’exploitation correspondant à leurs capacités (Windows 2000, Win...








Tous droits réservés. Copyright © 2016
contacts
p.21-bal.com