Architecture Active Directory (2)

Sommaire

• Architecture

L'installation d'un contrôleur de domaine Active Directory crée simultanément le domaine Windows 2000 initial ou ajoute le nouveau contrôleur à un domaine existant. Comment les contrôleurs de domaine et les domaines s'inscrivent-ils dans l'architecture globale du réseau ?

Cette section détaille les composants d'un réseau Active Directory et leur organisation. En outre, elle décrit comment déléguer la responsabilité d'administration d'unités d'organisation, de domaines ou de sites aux personnes appropriées et comment assigner des paramètres de configuration à ces trois conteneurs Active Directory. Cette section comprend les rubriques suivantes :

• Objets (y compris le schéma)
• Conventions d'affectation de nom d'objet (dont les noms des entités de sécurité, les SID, les noms LDAP, les GUID d'objets et les noms d'ouverture de session)
• Publication d'objets
• Domaines (y compris les arborescences, les forêts, les approbations et les unités d'organisation)
• Sites (y compris la réplication)
• Application de la délégation et des stratégies de groupe aux unités d'organisation, aux domaines et aux sites

Objets

Les objets Active Directory sont des éléments qui constituent un réseau. Un objet est un ensemble d'attributs nommé et circonscrit qui représente un élément concret, comme un utilisateur, une imprimante ou une application. Lorsque vous créez un objet Active Directory, certains de ses attributs sont paramétrés automatiquement et d'autres vous sont demandés. Par exemple, si vous créez un objet Utilisateur, Active Directory fournit l'identificateur globalement unique (GUID, Globally Unique Identifier) tandis que vous fournissez les valeurs d'attributs tels que le prénom et le nom de l'utilisateur, l'identificateur d'ouverture de session, etc.

Schéma

Le schéma est une description des classes d'objet (différents types d'objet) et de leurs attributs. Le schéma définit les attributs que chaque classe d'objet doit posséder, les attributs supplémentaires dont elle doit disposer et la classe d'objet dont elle peut être l'enfant. Chaque objet Active Directory est une instance d'une classe d'objet. Chaque attribut est défini une seule fois mais peut être utilisé dans plusieurs classes. C'est le cas, par exemple, de l'attribut Description, qui est utilisé dans de nombreuses classes différentes.

Le schéma est enregistré dans Active Directory. Les définitions du schéma sont elles-mêmes enregistrées comme objets (les objets Schéma de classe et Schéma d'attributs). Active Directory peut ainsi gérer les objets de classe et d'attribut comme les autres objets d'annuaire.

Les applications qui créent ou modifient des objets Active Directory utilisent le schéma pour déterminer les attributs que l'objet doit posséder et à quoi ces attributs peuvent ressembler en termes de structure des données et de contraintes de syntaxe.

Les objets sont soit des objets conteneurs, soit des objets feuilles (également appelés objets non-conteneurs). Les objets conteneurs stockent d'autres objets, alors que les objets feuilles, non. Par exemple, un dossier est un objet conteneur de fichiers, qui sont eux-mêmes des objets feuilles.

Chaque classe d'objet du schéma Active Directory possède des attributs qui garantissent :

• l'identification unique de chaque objet d'un magasin de données d'annuaire ;
• la compatibilité pour les entités de sécurité (utilisateurs, ordinateurs ou groupes) avec les identificateurs de sécurité (SID) utilisés dans les systèmes d'exploitation Windows NT 4.0 et antérieurs ;
• la conformité aux normes LDAP en matière de noms d'objets d'annuaire.

Attributs du schéma et requêtes

L'outil Schéma Active Directory permet de marquer un attribut comme indexé. Cela a pour effet d'ajouter toutes les instances de cet attribut à l'index et non pas seulement celles qui sont membres d'une classe particulière. L'indexation d'un attribut permet de retrouver plus rapidement les objets possédant cet attribut.

Vous pouvez également inclure des attributs dans le catalogue global. Ce dernier contient un ensemble d'attributs par défaut pour chaque objet de la forêt, mais vous pouvez en ajouter d'autres. Les utilisateurs et les applications utilisent le catalogue global pour localiser des objets dans une forêt. Ajoutez-y uniquement des attributs possédant les caractéristiques suivantes :

• Utilité globale. L'attribut doit pouvoir servir à localiser des objets (même pour un accès en lecture, seulement) sur l'ensemble d'une forêt.
• Non-volatilité. L'attribut ne doit pas changer, ou bien très rarement. Les attributs d'un catalogue global sont répliqués vers tous les autres catalogues globaux de la forêt. Si l'attribut change souvent, le trafic de réplication augmente de manière significative.
• Petite taille. Les attributs d'un catalogue global sont répliqués vers tous les autres catalogues globaux de la forêt. Plus l'attribut sera petit, moins sa réplication aura d'impact sur le trafic du réseau.

Noms des objets de schéma

Comme précisé plus haut, les classes et les attributs sont tous des objets de schéma. En tant que tels, ils peuvent être référencés par les types de noms suivants :

• Nom complet LDAP. Le nom complet LDAP est globalement unique pour chaque objet de schéma. Il est composé d'un ou de plusieurs mots, avec initiale majuscule à partir du deuxième mot. Par exemple, mailAddress et machinePasswordChangeInterval sont les noms complets LDAP de deux attributs de schéma. Schéma Active Directory et d'autres outils d'administration Windows 2000 affichent le nom complet LDAP des objets. Celui-ci permet aux programmeurs et aux administrateurs de référencer l'objet par programme. Pour plus d'informations sur l'extension par programme du schéma, voir la sous-section suivante ; pour plus d'informations sur LDAP, voir la section "Protocole LDAP".
• Nom commun. Le nom commun d'un objet de schéma est également globalement unique. Vous devez le spécifier lors de la création de nouveaux attributs ou classes d'objet dans le schéma — c'est le nom unique relatif (RDN, Relative Distinguished Name) de l'objet du schéma qui représente cette classe d'objet. Pour plus de détails sur les noms RDN, reportez-vous à la section "Noms RDN et noms uniques LDAP". Par exemple, les noms communs des deux attributs mentionnés précédemment sont SMTP-Mail-Address et Machine-Password-Change-Interval.
• Identificateur d'objet (OID). Un identificateur d'objet de schéma est un numéro attribué par une autorité telle que l'Association internationale de normalisation (ISO, International Organization for Standardization) ou l'ANSI (American National Standards Institute). Par exemple, l'OID de l'attribut SMTP-Mail-Address est 1.2.840.113556.1.4.786. Les OID sont garantis comme étant uniques sur l'ensemble des réseaux du monde entier. Une fois que vous avez obtenu un OID racine à partir d'une autorité compétente, vous pouvez l'utiliser pour en attribuer d'autres. Les OID sont organisés sous forme hiérarchique. Par exemple, Microsoft s'est vu allouer l'OID racine 1.2.840.113556. Microsoft gère en interne d'autres branches issues de cette racine. Une de ces branches est utilisée pour allouer des OID aux classes de schéma Active Directory et une autre pour les attributs. Pour reprendre notre exemple, l'OID 1.2.840.113556.1.5.4 identifie dans Active Directory la classe de domaine prédéfini et peut être analysé de la manière illustrée dans le tableau 1.

Tableau 1. Identificateur d'objet

Numéro d'OID Identifie 1 ISO (autorité "racine") a attribué 1.2 à ANSI, puis U 2 ANSI a attribué 1.2.840 aux États-Unis, puis U 840 les États-Unis ont attribué 1.2.840.113556 à Microsoft, puis U 113556 Microsoft gère en interne plusieurs branches d'OID sous 1.2.840.113556, dont U 1 une branche appelée Active Directory qui inclut U 5 une branche appelée Classes qui inclut U 4 une branche appelée Domaine prédéfini

Pour plus d'informations sur les OID et sur la manière de les obtenir, voir la section "Pour plus d'informations" à la fin de ce document.

Extension du schéma

Le système d'exploitation Windows 2000 Server fournit un ensemble de classes d'objet et d'attributs par défaut suffisants pour la plupart des organisations. Bien que vous ne puissiez pas supprimer les objets de schéma, vous pouvez les marquer comme désactivés.

Les développeurs et les administrateurs réseau expérimentés peuvent étendre dynamiquement le schéma en définissant de nouvelles classes et de nouveaux attributs pour les classes existantes. Il est conseillé d'étendre le schéma Active Directory par programme, via l'interface ADSI (Active Directory Service Interface). Vous pouvez également utiliser l'utilitaire LDIFDE (LDAP Data Interchange Format). (Pour plus d'informations sur ADSI et LDIFDE, voir les sections "ADSI" et "Active Directory et LDIFDE".)

L'outil Schéma Active Directory, conçu à des fins de développement et de test, vous permet d'afficher et de modifier le schéma Active Directory.

Si vous envisagez de modifier le schéma, prenez les points suivants en considération :

• Les modifications du schéma s'appliquent à l'ensemble de la forêt.
• Les extensions du schéma sont irréversibles (même si vous pouvez modifier certains attributs).
• Microsoft exige de toute personne étendant le schéma qu'elle adhère aux règles d'affectation de noms (évoquées dans la sous-section précédente) à la fois pour les noms complets LDAP et pour les noms communs. La compatibilité est garantie par le logo Certifié compatible Windows⁷. Pour plus d'informations, voir le Site Web : msdn - L'information pour les Développeurs.
• Toutes les classes du schéma sont dérivées de la classe spéciale Top. À l'exception de Top, toutes les classes sont des sous-classes dérivées d'une autre classe. L'héritage des attributs permet de construire de nouvelles classes à partir de classes existantes. La nouvelle sous-classe hérite des attributs de sa superclasse (classe parent).

L'extension du schéma est une opération avancée. Pour plus d'informations sur l'extension du schéma par programme, voir la section "Pour plus d'informations" à la fin de ce document.

Conventions d'affectation de noms d'objet

Active Directory prend en charge plusieurs formats de noms d'objet pour tenir compte des différentes formes que peut prendre un nom, selon le contexte d'utilisation (certains noms correspondent à des numéros). Les sous-sections suivantes décrivent les types de conventions d'affectation de nom des objets Active Directory :

• Noms des entités de sécurité
• Identificateurs de sécurité (aussi appelés SID ou identificateurs SID)
• Noms LDAP (dont les noms canoniques, les noms RDN, les URL et les noms uniques)
• GUID d'objets
• Noms d'ouverture de session (dont les noms UPN et les noms de comptes SAM)

Si votre organisation possède plusieurs domaines, vous pouvez utiliser les mêmes noms d'utilisateur et d'ordinateur dans les différents domaines. Le SID, le GUID, le nom unique LDAP et le nom canonique générés par Active Directory identifient de manière unique chaque utilisateur et chaque ordinateur de l'annuaire. Si l'objet Utilisateur ou Ordinateur est renommé ou déplacé vers un domaine différent, le SID, le nom unique relatif LDAP, le nom unique et le nom canonique changent. En revanche, le GUID généré par Active Directory reste identique.

Noms des entités de sécurité

Une entité de sécurité est un objet Windows 2000 géré par Active Directory, auquel est automatiquement affecté un identificateur de sécurité (SID) pour l'authentification d'ouverture de session et l'accès aux ressources. Une entité de sécurité peut être un compte d'utilisateur, un compte d'ordinateur ou un groupe. En d'autres termes, un nom d'entité de sécurité identifie de manière unique un utilisateur, un ordinateur ou un groupe au sein d'un domaine unique. Un objet entité de sécurité doit être authentifié par un contrôleur du domaine dans lequel il se trouve et l'accès aux ressources réseau peut lui être accordé ou refusé.

Les noms des entités de sécurité ne sont pas uniques sur l'ensemble des domaines, mais doivent être uniques dans leur propre domaine pour des raisons de compatibilité ascendante. Les objets entités de sécurité peuvent être renommés, déplacés ou enregistrés au sein d'une arborescence de domaines imbriqués.

Leur nom doit être conforme aux lignes directrices suivantes :

• Le nom ne doit pas être identique à un autre nom d'utilisateur, d'ordinateur ou de groupe du domaine. Il peut contenir jusqu'à 20 caractères majuscules ou minuscules, à l'exception des caractères suivants : " / \ [ ] : ; | = , + * ? <>
• Les noms d'utilisateurs, d'ordinateurs et de groupes ne doivent pas être composés uniquement de points (.) et d'espaces.

Identificateurs de sécurité (SID)

Un SID est un numéro unique, créé par le sous-système de sécurité de Windows 2000 et affecté aux objets entités de sécurité, à savoir les comptes d'utilisateurs, de groupes et d'ordinateurs. Chaque compte de votre réseau a reçu un SID unique à sa création. Les processus internes de Windows 2000 font référence au SID d'un compte plutôt qu'à son nom d'utilisateur ou de groupe.

Des entrées de contrôle d'accès (ACE, Access Control Entrie) protègent chaque objet Active Directory en identifiant les utilisateurs et les groupes pouvant y accéder. Chaque ACE contient le SID de chaque utilisateur et de chaque groupe ayant l'autorisation d'accéder à l'objet et définit le niveau d'accès autorisé. Par exemple, un utilisateur peut disposer pour certains fichiers de droits d'accès en lecture seule, pour d'autres de droits d'accès en lecture et en écriture, et pour d'autres encore, d'aucun droit d'accès.

Si vous créez un compte, que vous le supprimez, puis que vous créez un autre compte avec le même nom d'utilisateur, le nouveau compte n'hérite ni des autorisations, ni des droits accordés à l'ancien compte car les comptes ont des identificateurs SID différents.

Noms LDAP

Active Directory est un service d'annuaire conforme LDAP (Lightweight Directory Access Protocol). Dans Windows 2000, tout accès à un objet Active Directory s'effectue à l'aide du protocole LDAP. Il définit les opérations à effectuer pour rechercher et modifier des informations dans un annuaire, et la manière d'accéder de manière sécurisée à ces informations. Ainsi, c'est LDAP qui est utilisé pour rechercher ou énumérer des objets d'annuaire et pour interroger ou administrer Active Directory. (Pour plus d'informations sur LDAP, voir la section "Protocole LDAP".)

Il est possible de faire porter les requêtes sur le nom unique LDAP (lui-même un attribut de l'objet), mais comme ceux-ci sont difficiles à mémoriser, LDAP prend également en charge les requêtes portant sur d'autres attributs (par exemple, la couleur pour rechercher les imprimantes couleur). Vous pouvez ainsi rechercher un objet même si vous ne connaissez pas son nom unique.

Les formats d'affectation de noms d'objet, pris en charge par Active Directory et fondés sur le nom unique LDAP, sont décrits dans les trois sous-sections suivantes :

• Noms RDN et noms uniques LDAP
• URL LDAP
• Noms canoniques LDAP

Noms RDN et noms uniques LDAP

LDAP fournit des noms uniques (DN) et des noms uniques relatifs (RDN) aux objets⁸. Active Directory met en œuvre ces conventions d'affectation de noms LDAP avec les variantes illustrées dans le tableau 2.

Tableau 2. Conventions d'affectation de noms LDAP et correspondances dans Active Directory

Convention d'affectation des noms DN & RDN LDAP Convention d'affectation de noms correspondante dans Active Directory cn=nom commun cn=nom commun ou=unité d'organisation ou=unité d'organisation o=organisation dc=composant de domaine c=pays (non pris en charge)

Remarque cn=, ou=, … sont des types d'attributs. Les attributs permettant de détailler le nom RDN d'un objet sont appelés attributs d'affectation de nom. Les attributs d'affectation de nom Active Directory, illustrés en haut à droite, sont destinés aux classes d'objet Active Directory suivantes :

• L'attribut cn est utilisé pour la classe d'objet utilisateur.
• L'attribut ou est utilisé pour la classe d'objet unité d'organisation (OU).
• L'attribut dc est utilisé pour la classe d'objet DNS de domaine.

Chaque objet Active Directory possède un nom unique LDAP. Les objets sont localisés dans les domaines Active Directory à l'aide d'un chemin hiérarchique qui inclut les étiquettes du nom de domaine et chaque niveau d'objet conteneur. Le chemin complet vers l'objet est défini par le nom unique. Le nom de l'objet lui-même correspond au nom RDN. Ce nom est le segment du nom unique d'un objet, attribut de l'objet lui-même.

Représentant le chemin complet vers un objet, composé du nom de l'objet et de tous ses objets parents jusqu'à la racine du domaine, le nom unique permet d'identifier un objet unique dans l'arborescence de domaines. Chaque nom RDN est stocké dans la base de données Active Directory et contient une référence à son parent. Au cours d'une opération LDAP, le nom unique est construit entièrement en suivant les références à la racine. Dans un nom unique LDAP complet, le nom RDN de l'objet à identifier commence sur la gauche avec le nom de la feuille et se termine sur la droite avec le nom de la racine, comme le montre l'exemple suivant :

cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com

Le nom RDN de l'objet Utilisateur MDurand est cn=MDurand, celui de Widget (l'objet parent de MDurand) est ou=Widgets, etc.

Les outils Active Directory n'affichent pas les abréviations LDAP des attributs d'affectation de nom (dc=, ou= ou cn=). Elles apparaissent dans l'exemple pour illustrer la manière dont LDAP reconnaît les différentes parties des noms uniques. La plupart des outils Active Directory affichent les noms d'objets sous leur forme canonique (décrite plus loin dans ce document). Dans Windows 2000, les noms uniques permettent aux clients LDAP de récupérer des informations sur des objets à partir de l'annuaire, mais aucune interface utilisateur ne demande d'entrer le nom unique. L'utilisation explicite des noms uniques, des noms RDN et des attributs d'affectation de nom est requise uniquement lors de l'écriture de programmes ou de scripts conformes LDAP.

Noms d'URL LDAP

Active Directory prend en charge l'accès de tous les clients LDAP à l'aide du protocole LDAP. La RFC 1959 décrit un format d'URL LDAP permettant aux clients Internet d'accéder directement au protocole LDAP. Les URL LDAP sont également utilisées dans l'écriture de scripts. Une telle URL est composée du préfixe "LDAP", du nom du serveur contenant les services Active Directory, suivi du nom attribué à l'objet (le nom unique). Par exemple :

LDAP://serveur1.France.NomOrg.com/cn=MDurand, ou=Widgets,ou=Fabrication,dc=France,dcNomOrg,dc=com

Noms canoniques LDAP de Active Directory

Par défaut, les outils d'administration de Active Directory affichent les noms des objets au format de nom canonique, qui répertorie les noms RDN à partir de la racine, sans les descripteurs d'attribut d'affectation de nom RFC 1779 (dc=, ou= et cn=). Le nom canonique utilise le format DNS, c'est-à-dire que les constituants de la partie du nom contenant les noms de domaines sont séparés par des points — France.NomOrg.com. Le tableau 3 montre les différences entre un nom unique LDAP et le même nom au format de nom canonique.

Tableau 3. Format de nom unique LDAP et format de nom canonique

Nom identique dans deux formats différents

Nom unique LDAP : cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com Nom canonique : France.NomOrg.com/Fabrication/Widgets/MDurand

GUID d'objets

Parallèlement à son nom unique LDAP, chaque objet Active Directory possède un identificateur globalement unique (GUID), un numéro à 128 bits assigné par l'Agent système d'annuaire lors de la création de l'objet. Le GUID, qui ne peut être ni modifié ni supprimé, est enregistré dans un attribut, objectGUID, requis pour chaque objet. À la différence des noms uniques et RDN susceptibles d'être modifiés, le GUID ne change jamais.

Si vous enregistrez une référence à un objet Active Directory dans un magasin de données externe (par exemple, une base de données Microsoft SQL Server™), vous devez utiliser l'attribut objectGUID.

Noms d'ouverture de session : noms UPN et noms de comptes SAM

Comme décrit précédemment, les entités de sécurité sont des objets sur lesquels s'applique la sécurité Windows pour l'authentification d'ouverture de session et les autorisations d'accès aux ressources. Les utilisateurs représentent le premier type d'entités de sécurité. Dans Windows 2000, ils ont besoin d'un nom d'ouverture de session unique pour accéder à un domaine et à ses ressources. Les deux types de noms d'ouverture de session — les noms UPN et les noms de comptes SAM (Security Account Manager) — sont décrits dans les deux sous-sections ci-dessous.

Noms UPN

Dans Active Directory, chaque compte d'utilisateur possède un nom UPN (nom utilisateur principal) au format <utilisateur>@<nom-domaine-DNS>. Un nom UPN est un nom convivial assigné par un administrateur. Il est plus court que le nom unique LDAP utilisé par le système et plus facile à mémoriser. Le nom UPN d'un objet Utilisateur est indépendant de son nom unique, si bien que le déplacement et la modification du nom de l'objet n'affectent pas le nom d'ouverture de session de l'utilisateur. Lors d'une connexion par nom UPN, les utilisateurs ne sont plus invités à sélectionner un domaine dans une liste dans la boîte de dialogue d'ouverture de session.

Les noms UPN se composent de trois parties : le préfixe UPN (nom d'ouverture de session de l'utilisateur), le caractère @ et le suffixe UPN (en général, un nom de domaine). Le suffixe UPN par défaut d'un compte d'utilisateur est le nom DNS du domaine Active Directory dans lequel se trouve le compte⁹. Par exemple, le nom UPN de l'utilisateur Marc Durand, qui possède un compte d'utilisateur dans le domaine NomOrg.com (si NomOrg.com est le seul domaine de l'arborescence), est MDurand@NomOrg.com. C'est un attribut (userPrincipalName) de l'objet entité de sécurité. Si l'attribut userPrincipalName d'un objet Utilisateur n'a pas de valeur, l'objet a le nom UPN par défaut nomUtilisateur@NomDomaineDns.

Si votre organisation possède une arborescence de domaines composée de nombreux domaines, organisés par départements et régions, les noms UPN par défaut peuvent s'avérer encombrants. Par exemple, le nom UPN par défaut d'un utilisateur pourrait être ventes.coteouest.microsoft.com. Le nom d'ouverture de session des utilisateurs dans ce domaine serait utilisateur@ventes.coteouest.microsoft.com. Au lieu d'accepter le nom de domaine DNS par défaut comme suffixe UPN, vous pouvez simplifier l'administration et les processus de connexion utilisateur en fournissant un suffixe UPN unique pour tous les utilisateurs. (Le suffixe UPN est utilisé uniquement au sein du domaine Windows 2000 et il ne correspond pas nécessairement à un nom de domaine DNS valide.) Vous pouvez décider d'utiliser votre nom de domaine de messagerie comme suffixe UPN — nomUtilisateur@nomEntreprise.com. Le nom UPN de l'utilisateur de notre exemple devient alors utilisateur@microsoft.com.

Lors d'une ouverture de session par nom UPN, un catalogue global peut s'avérer nécessaire, selon l'identité de l'utilisateur qui se connecte et l'appartenance de l'ordinateur de l'utilisateur au domaine. C'est le cas si l'utilisateur se connecte à l'aide d'un nom UPN différent du nom par défaut et si le compte d'ordinateur de l'utilisateur se trouve dans un autre domaine que son compte d'utilisateur. C'est-à-dire si, au lieu d'accepter le nom de domaine DNS par défaut comme suffixe UPN (comme dans l'exemple précédent, utilisateur@ventes.coteouest.microsoft.com), vous fournissez un suffixe UPN unique pour tous les utilisateurs (l'utilisateur a alors pour nom utilisateur@ microsoft.com).

L'outil Domaines et approbations Active Directory permet de gérer les suffixes UPN d'un domaine. Les noms UPN sont assignés lors de la création d'un utilisateur. Si vous avez créé des suffixes supplémentaires pour un domaine, vous devez sélectionner le suffixe de votre choix dans une liste lorsque vous créez le compte d'utilisateur ou de groupe. Les suffixes sont répertoriés dans l'ordre suivant :

• autres suffixes (s'il en existe, le dernier créé apparaît en tête de liste) ;
• domaine racine ;
• domaine actif.

Noms de comptes SAM

Un nom de compte SAM (Security Account Manager) est requis pour la compatibilité avec les domaines Windows NT 3.x et Windows NT 4.0. Dans l'interface utilisateur Windows 2000, un nom de compte SAM est appelé "Nom d'ouverture de session de l'utilisateur (avant l'installation de Windows 2000)".

Ces noms sont aussi parfois appelés noms plan car, contrairement aux noms DNS, ils ne sont pas affectés hiérarchiquement. Comme les noms SAM sont plan, chacun doit être unique dans le domaine.

Publication d'objets

La publication représente la création d'objets dans l'annuaire, qui contiennent directement les informations que vous voulez rendre accessibles ou y font référence. Par exemple, un objet Utilisateur contiendra des informations utiles sur les utilisateurs, comme leurs numéros de téléphone et leurs adresses de messagerie, tandis qu'un objet Volume contiendra une référence à un volume d'un système de fichiers partagé.

Les deux exemples suivants décrivent la publication d'objets Imprimantes et Fichiers dans Active Directory :

• Publication de partage. Vous pouvez publier un dossier partagé comme objet Volume (également appelé objet Dossier partagé) dans Active Directory en utilisant le composant logiciel enfichable Utilisateurs et groupes Active Directory. Les utilisateurs peuvent ainsi interroger rapidement et facilement Active Directory sur ce dossier partagé.
• Publication d'imprimante. Dans un domaine Windows 2000, la manière la plus simple de gérer, de rechercher et de se connecter à des imprimantes consiste à utiliser Active Directory. Par défaut¹⁰, si vous ajoutez une imprimante à l'aide de l'Assistant Ajout d'imprimante et décidez de la partager, Windows 2000 Server la publie dans le domaine en tant qu'objet Active Directory. La publication (affichage) d'imprimantes dans Active Directory permet aux utilisateurs de localiser l'imprimante la plus appropriée. Ils peuvent interroger aisément Active Directory sur une de ces imprimantes, en effectuant une recherche par attributs d'imprimante, tels que le type (PostScript, couleur, papier de taille autorisée, etc.) et l'emplacement. Lorsqu'une imprimante est supprimée du serveur, ce dernier annule sa publication.

  Vous pouvez également publier des imprimantes non-Windows 2000 (c'est-à-dire des imprimantes sur des serveurs d'impression autres que Windows 2000) dans Active Directory. Pour ce faire, utilisez l'outil Utilisateurs et ordinateurs Active Directory pour entrer le chemin UNC de l'imprimante. Vous pouvez aussi utiliser le script Pubprn.vbs inclus dans le dossier System32. La stratégie de groupe Nettoyage des imprimantes de bas niveau détermine la manière dont le service de nettoyage (suppression automatique d'imprimantes) traite les imprimantes situées sur des serveurs d'impression non-Windows 2000, lorsqu'une imprimante n'est pas disponible.

Décision de publication

Vous publiez une information dans Active Directory quand elle peut être utile ou intéressante pour une partie importante de la communauté des utilisateurs et quand elle doit être facilement accessible.

L'information publiée dans Active Directory présente deux caractéristiques essentielles :

• Elle est relativement statique. Publiez uniquement une information qui change rarement. Les numéros de téléphone et les adresses de messagerie sont des exemples d'informations relativement statiques, aptes à être publiées. Au contraire, le courrier électronique actuellement sélectionné par l'utilisateur est un exemple d'information particulièrement volatile.
• Elle est structurée. Publiez une information structurée qui peut être représentée sous la forme d'un ensemble d'attributs discrets. L'adresse professionnelle d'un utilisateur est un exemple d'information structurée, apte à être publiée. Un extrait audio de la voix de l'utilisateur est un exemple d'information non structurée mieux adaptée au système de fichiers.

Les informations de fonctionnement utilisées par les applications constituent d'excellentes candidates à la publication dans Active Directory. En font partie les informations de configuration globales qui s'appliquent à toutes les instances d'une application donnée. Par exemple, un produit de bases de données relationnelles pourrait enregistrer en tant qu'objet dans Active Directory la configuration par défaut des serveurs de bases de données. De nouvelles installations du produit pourraient alors récupérer la configuration par défaut contenue dans l'objet, ce qui simplifierait le processus d'installation et augmenterait la cohérence des installations au sein d'une entreprise.

Les applications peuvent également publier leurs points de connexion dans Active Directory. Les points de connexion servent aux rendez-vous client-serveur. Active Directory définit une architecture pour l'administration de services intégrée utilisant des objets Points d'administration de services et fournit des points de connexion standard pour les applications RPC (Remote Procedure Call), Winsock et COM (Component Object Model). Les applications qui n'utilisent pas les interfaces RPC ou Winsock pour publier leurs points de connexion peuvent publier explicitement des objets point de connexion de services dans l'annuaire.

Les données des applications peuvent également être publiées dans l'annuaire avec des objets spécifiques aux applications. Les données spécifiques aux applications doivent correspondre aux critères évoqués plus haut, c'est-à-dire être globalement intéressantes, relativement non volatiles et structurées.

Outils de publication

Les outils de publication dépendent de l'application ou du service concerné :

• RPC (Remote Procedure Call). Les applications RPC utilisent la famille de API RpcNs* pour publier leurs points de connexion dans l'annuaire et pour rechercher les points de connexion des services qui ont publié les leurs.
• Windows Sockets. Les applications Windows Sockets utilisent les familles de API Enregistrement et Résolution de Winsock 2.0 pour publier leurs points de connexion et pour rechercher les points de connexion des services qui ont publié les leurs.
• DCOM (Distributed Component Object Model). Les services DCOM publient leurs points de connexion par l'intermédiaire de la banque de classes DCOM, hébergée dans Active Directory. DCOM est la spécification COM de Microsoft qui définit la manière dont les composants communiquent sur les réseaux Windows. Utilisez l'outil Configuration DCOM pour intégrer des applications client-serveur sur plusieurs ordinateurs. DCOM peut également être utilisé pour intégrer des applications robustes de navigateur Web.