Planifier et personnaliser la délégation d’AD
Utilisez la méthodologie Tâche, Rôle, Domaine pour administrer votre environnement AD
L’administration d’un réseau d’entreprise est un fardeau qu’il est bon de pouvoir décentraliser. En délégant des tâches administratives à certains collaborateurs, vous pouvez réduire le coût de possessionLes réseaux Windows permettent de décentraliser l’administration par divers moyens et technologies. Vous pouvez, par exemple, déléguer le contrôle sur AD (Active Directory) en utilisant l’Active Directory Delegation of Control Wizard et l’ACL Editor. Vous pouvez aussi personnaliser le Delegation of Control Wizard pour faciliter la mise en place de votre plan. Voyons d’abord la délégation en général puis intéressons nous aux techniques de personnalisation du wizard.
Publication des imprimantes AD
Informez les utilisateurs des ressources d’impression
Prononcez le mot « imprimantes » devant un groupe de professionnels de l’informatique et constatez aussitôt leur manque de passion. Il est vrai que, confrontés aux imprimantes et à leurs problèmes, la plupart d’entre nous ne manifestent que peu d’intérêt pour les petits voyants de couleur clignotants...Tout simplement, nous n’aimons pas beaucoup les imprimantes. Pourtant, la possibilité de rechercher les imprimantes disponibles dans l’AD (Active Directory) est l’un des principaux avantages procurés aux utilisateurs finaux quand on migre de Windows NT à un domaine Windows 2000. Et la publication des imprimantes AD permet ces recherches.
ADModify
Avec cet outil GUI, effectuez des éditions d’AD en volume
En général, les domaines AD (Active Directory) constituent une nette amélioration par rapport aux domaines Windows NT 4.0. Sauf Concernant les éditions en masse ...Si vous êtes un ancien administrateur NT 4.0 qui utilise AD quotidiennement, vous constaterez rapidement que l’outil de gestion de comptes utilisateur User Manager for Domains de NT 4.0 est supérieur au snap-in Microsoft Management Console (MMC) Users and Computers de Windows 2000 Server, dans un domaine important : les éditions en volume, ou éditions de masse.
Utiliser IntelliMirror pour gérer les données utilisateurs et le paramétrage
Revoyez votre stratégie de gestion des ordinateurs desktop
Les ordinateurs desktop sont au coeur de la plupart des entreprises. Lesquelles dépendent de plus en plus de la plate-forme desktop et de ses données. Il est donc important de se demander s’il convient de revoir, ou de réévaluer, la présente stratégie de gestion de ce parc...Commençons par quelques questions simples : Quand le disque dur de l’un des utilisateurs est défaillant, dans quel délai pouvez-vous le remettre en ligne ? Comment allez-vous récupérer les données et comment pouvez- vous restaurer l’environnement d’exploitation afin que l’utilisateur retrouve ses outils de travail ? Grâce aux fonctions IntelliMirror de Windows 2000 Server avec des clients Windows XP et Win2K, vous pouvez concevoir et appliquer une stratégie efficace pour gérer les données et les paramètres utilisateur sans trop d’effort et sans mettre à mal le budget.
Interrogez cinq informaticiens différents et vous recevrez probablement cinq descriptions différentes d’IntelliMirror. Mais en substance, IntelliMirror est un ensemble d’outils permettant d’assurer la gestion des données utilisateur, des paramètres utilisateur, des paramètres ordinateur et l’installation et la maintenance du logiciel dans le cadre des stratégies de groupe. Les technologies de base de ces composants sont au nombre de deux : AD (Active Directory) et les Stratégies de groupe. Concentrons-nous sur la gestion des données utilisateur et celle des paramètres utilisateur. Plus précisément, les profils des utilisateurs itinérants, la redirection des dossiers, et les fonctions de fichiers offline.
Mise en place d’AD rapide et automatisée
Utilisez les fichiers batch pour construire votre réseau d’AD
Il m’arrive souvent de tester des configurations pour des clients, de rechercher des sujets d’articles, ou d’installer des machines de démonstration pour des cours. Tout cela m’amène à construire constamment de nouveaux réseaux d’AD (Active Directory) à partir de zéro. Les wizards deviennent rapidement pénibles, et j’ai parfois l’impression de passer une bonne partie de ma journée à attendre que des outils de type GUI me demandent une entrée.Depuis l’époque de PC-DOS 1.0, je suis un chaud partisan des fichiers batch. J’ai donc créé une série d’outils batch me permettant de mettre en place rapidement des réseaux d’AD avec un minimum d’intervention personnelle. Ce mois-ci, je vais partager avec vous ces intéressants outils automatisés.
Par souci de simplicité, je limite l’exemple de cet article à un réseau extrêmement simple constitué de deux serveurs: UptownDC et Downtown DC. L’un des serveurs est une machine Windows Server 2003 et l’autre est un serveur Windows 2000. Les outils de support et le service DNS Server sont installés sur les deux. Ma première tâche consiste à établir des adresses IP statiques sur UptownDC et DowntownDC et à définir le suffixe DNS pour qu’il corresponde à la zone DNS à créer sous peu. Les adresses IP de UptownDC et de DowntownDC sont, respectivement, 192.168.0.2 et 10. 0.0.2. Les deux serveurs se trouvent dans les réseaux en subnet- C, c’est-à-dire qu’ils utilisent les masques subnet de 255.255.255.0.
Je vais créer un domaine AD nommé bigfirm.biz mais avant cela, il me faut créer une zone DNS nommée bigfirm.biz – et cette opération est plus simple si mes serveurs DNS possèdent déjà le suffixe DNS bigfirm.biz. Par conséquent, je dois d’abord définir une adresse IP statique et un suffixe DNS. Malheureusement, je n’ai pas trouvé de bon moyen permettant de renommer les systèmes Win2K à partir de la ligne de commande. (L’outil Renamecomputer de Netdom ne vaut que pour des systèmes qui sont déjà joints aux domaines.) Il me faut donc définir les noms de machines de UptownDC et de DowntownDC à partir de la GUI.
Installation de DC sans problème
Vos questions invitent à y regarder de plus près
La mise en place d’AD (Active Directory) ressemble beaucoup au jeu d’échecs : il faut anticiper mais aussi définir la stratégie au fur et à mesure, en veillant à ne pas perdre le roi parce qu’on a été obsédé par les pions...Vous pourriez vous plonger dans la mise en place des domaines, des OU (organizational units), des groupes et des comptes utilisateur, mais vous ne devez pas oublier un principe IT fondamental : quand vous faites un changement, assurez-vous qu’il fonctionne. Après avoir promu un serveur membre Windows 2000 au rang de DC (domain controller), passez-le au crible d’une liste de contrôle pour confirmer que la promotion s’est bien passée et faites quelques changements de configuration simples mais importants pour vous assurer que le DC fonctionnera quand vous en aurez besoin. Parcourons donc la liste de contrôle à couvrir pour configurer un domaine AD.
Migrer vers Windows 2003 avec Active Directory Migration Tool Version 2.0
A l’heure de la sortie officielle de Windows 2003, les nouveautés apportées par la nouvelle mouture de Microsoft annoncent d’agréables surprises. Parmi celles-ci, on notera la nouvelle version d’ADMT.ADMT (Active Directory Migration Tool) livré gratuitement en version 2 avec Windows 2003 est un outil qui permet de migrer facilement, rapidement et de manière sécurisée les comptes d’utilisateurs, d’ordinateurs et des groupes comme le montre la figure 1.
ADMT peut migrer d’un domaine NT4 vers un environnement Active Directory (interforêt), entre des domaines Active Directory de différentes forêts (interforêt) ou tout simplement consolider des domaines Active Directory d’une même forêt en un seul domaine (intraforêt). Voir figure 1.
Au cours de cet article, nous évoquerons tout d’abord les nouveautés de l’ADMT par rapport à la version précédente. Puis, après avoir fait un point sur la sécurité, nous listerons les prérequis avant toute migration avec ADMT v2. Enfin, nous aborderons rapidement la place qu’occupe ADMT aujourd’hui face à ses pairs.
Récupérer après l’échec d’une promotion DC
Gardez la tête froide et utilisez les bons outils pour promouvoir un DC NT faiblard au niveau Win2K AD
Nous étions là, entourés de mets disposées sur des plateaux. Pourtant, pas question de manger en attendant le moment crucial. Ce n’était pas le nouvel an, mais l’une des nombreuses soirées passées à travailler sur une implémentation Active Directory.Vous voyez le topo : des journées interminables, des nuits qui n’en finissent pas – la totale !
Nous en étions au quatrième jour du passage de Windows NT 4.0 à Windows 2000 AD. Tout se passait bien et nous avions bien avancé pendant le processus de pré-mise à niveau. Puis la catastrophe frappa. Qu’est-ce qui avait raté et comment allions-nous régler le problème?
Pourquoi superviser son infrastructure AD avec MOM
Depuis environ un an, un petit nouveau est apparu dans le monde de la supervision : Microsoft Operations Manager. Petit nouveau certes, mais il est important de noter que ce produit n’est pas tout jeune et est déjà mature. En effet, il en est en fait, à sa version N°4. C’est un produit qui a été racheté par Microsoft à NetIQ. Le service pack1 du produit sort en janvier 2003.Ce produit est destiné à être une référence dans le monde de la supervision des infrastructures Microsoft et commence déjà réellement à s’implanter dans les entreprises soucieuses du bon fonctionnement de leurs infrastructures Windows.
Avant de décrire pourquoi MOM est le produit idéal pour surveiller l’AD, il est important de rappeler pourquoi il est nécessaire de superviser une infrastructure Active Directory.
Gardez le service computer browser en action
Le service Microsoft Computer Browser maintient des listes des domaines, groupes de travail et ordinateurs basés sur Windows de votre réseau, ainsi que d’autres équipements du réseau prenant en charge le protocole NetBIOS. Ces listes de navigation sont la source de l’information que les utilisateurs voient quand ils étendent Network Neighborhood dans Windows Explorer ...Dans les réseaux de type Windows 2000, AD (Active Directory) remplace le service Computer Browser. Cependant, des réseaux Win2KWindows NT mixtes qui maintiennent des DC (domain controllers) et des réseaux pré-Win2K avec certains clients qui ne sont pas qualifiés pour AD, utilisent encore le service Computer Browser.
Dans le service Computer Browser, le domaine master browser dans un réseau IP interagit avec les segments master browsers du réseau, s’appuyant sur la résolution de noms NetBIOS et sur plusieurs noms NetBIOS spéciaux, pour assembler des listes d’ordinateurs et d’autres équipements. Mais que faire quand le service Computer Browser de votre réseau tombe en panne ? Dans cette éventualité, vous devez connaître les outils et procédures permettant de régler les problèmes du service navigateur.