Google
 

/Technologie/Active Directory

:: QUESTIONS de base

Peux t'-on ajouter un serveur Windows Server 2003 dans un domaine Windows 2000 ?

Comment nommer un domaine AD ?

Peut on se connecter a Active Directory depuis Windows95, 98 ou NT 4 ?

:: OPERATIONS de bases

Comment créer une forêt et un domaine ?

Comment ajouter un contrôleur de domaine à un domaine existant ?

Comment renommer un Contrôleur de domaine ?

Comment retirer un Contrôleur du Domaine?

Comment vérifier l'initialisation correcte d'Active Directory ?

Comment créer un domaine enfant ?

Comment créer une nouvelle forêt ?

:: GESTION D'ACTIVE DIRECTORY

Comment déterminer les rôles RID, PDC, et Infrastructure dans un domaine ? ?

Comment déterminer le serveur Schema Master dans une forêt ?

Comment créer une relation d'approbation entre deux forêts ?

Comment vérifier les relations d'approbation ?

Comment supprimer une relation d'approbation ?

Comment créer et gérer les sites et sous réseaux ?

Comment déplacer un contrôleur de domaine dans un autre site ?

Comment créer et configurer des liens entre sites ?

Comment gérer les topologies de sites ?

Comment transférer le rôle de contrôleur de schéma ?

Comment transférer le rôle Maître d'attribution de noms de domaine ?

Comment transférer les rôles Maître RID, Émulateur PDC et Contrôleur d'infrastructure ?

Comment sauvegarder Active Directory ?

Comment restaurer Active Directory ?

Comment passer de Windows Server 2000 à Windows Server 2003 ?

:: GESTION DES STRATEGIES SYSTEMES

Comment déléguer l'autorité pour créer et gérer des objets de stratégie de groupe ?

:: DEPANNAGE

Impossible d'ajouter un autre DC au domaine, pourquoi ?

L'ouverture de session est très lente, pourquoi ?


Peut-on ajouter un serveur Windows Server 2003 dans un domaine Windows 2000 ?

Oui, les contrôleurs de domaines Windows Server 2000 et Windows Server 2003 peuvent cœxister.

Cependant, avant d'installer le premier DC 2003 vous devez préparer le schema AD avec adprep /forestprep.

Consultez  http://support.microsoft.com/default.aspx?scid=kb;fr;325379 .

Comment nommer un domaine AD ?

Les règles de nommage d'un domaine AD viennent principalement de DNS : les caractères acceptés sont les caractères alphanumériques (A à Z et 0 à 9) et le tiret (-). Le point (.) dans le nom de domaine est toujours utilisé pour séparer les différentes parties du nom de domaine. Chaque nom de domaine ne peut excéder 63 octets et le premier caractère ne peut être un chiffre.

Il est conseillé de respecter les règles suivantes :

si vous voulez que le nom NetBIOS du domaine corresponde à votre nom de domaine, utilisez moins de 15 caractères pour le nom,

n'utilisez pas pour votre domaine AD, le même nom de domaine que celui que vous possédez en externe, ceci posera des problèmes DNS, par contre pour éviter le même genre de désagrément réservez celui ci sur Internet,

n'utilisez pas le préfixe .local.

Peut on se connecter a Active Directory depuis Windows95, 98 ou NT 4 ?

Oui, il suffit d'installer les "Extensions Client d'Active Directory pour Windows 95, 98 et NT 4 Workstation" sur les PC clients, le télécharger ici :

http://www.microsoft.com/france/windows/98/download/info.asp?mar=/france/windows/2000/server/telecharge/info/2000_adextensions.html&xmlpath=/france/windows/98/inc/download.xml&rang=14

Comment créer une forêt avec un domaine ?

 

Pour plus de détails, cliquez ici.

 

1. Démarrer / Exécuter DCPROMO

2. Sur la page d'accueil, cliquez sur Suivant

3. Sur la page d'avertissement, cliquez sur Suivant

4. Sur la page Type de Contrôleur de Domaine, sélectionnez Contrôleur de Domaine pour un nouveau domaine, et cliquez sur Suivant,

5. Sur la page suivante, sélectionnez Domaine dans une nouvelle forêt, puis cliquez sur Suivant

6. Saisissez le nom DNS complet, cliquez sur Suivant

7. Vérifiez le nom NetBIOS et cliquez sur Suivant

8. Précisez un emplacement, et cliquez sur Suivant

9. Validez un emplacement, et cliquez sur Suivant

10. Vérifiez le DNS existant ou cliquez sur Installer et configurer, puis cliquez sur Suivant

11. Précisez si vous souhaiter appliquer les sécurités

12. Lorsque l'assistant vous le demande, précisez le mot de passe de dépannage,

13. Vérifiez la page de résumé, puis validez.

14. A la fin le serveur doit redémarrer.

 

Comment ajouter un contrôleur de domaine à un domaine existant ?  -

 

1. Démarrer / Exécuter DCPROMO

2. Sur la page Type de Contrôleur de Domaine, sélectionnez Ajouter un contrôleur à un domaine existant.

3. A la page sécurité, saisissez le nom d'utilisateur puis le mot de passe :

4. Confirmez l'emplacement de la Base de donnée et des dossiers Logs

5. Sur le partage systeme, donnez l'emplacement du répertoire SYSVOL

6. A la page de restauration confirmez le mot de passe de restauration

7. Vérifiez le résumé et validez.

8. A la fin le serveur doit redémarrer.

 

Comment renommer un Contrôleur de Domaine ? - t

 

1. Dans le Panneau de Configuration, double cliquez sur Système

2. Dans l'onglet Nom de l'ordinateur, cliquez sur Modifier

3. Confirmez le changement

4. Entrez le nom complet et cliquez sur OK

 

Comment retirer un Contrôleur de domaine ?

 

Supprimer un DC opérationnel :

 

1. Lancez l'assistant AD (DCPROMO)

2. A la page Désinstallation d'AD, sélectionnez Ce serveur est le dernier contrôleur du domaine, et cliquez sur Suivant :

3. tapez le nouveau mot de passe administrateur

4. Vérifiez le résumé et validez.

DCPROMO vous demande aussi de confirmer les zones DNS correspondantes.

Pour supprimer un Contrôleur endommagé qui ne peut plus être redémarré :

Dans ce cas il faut utiliser ntdsutil , conformément à http://support.microsoft.com/default.aspx?scid=kb;fr;216498

 

 

Comment vérifier l'initialisation correcte d'Active Directory ? -

 

 

POur vérifiez que AD s'est correctement initialisé, vérifiez les points suivants :
  • Default Containers
    Ceux ci sont créés automatiquement. Ouvrez la MMC Utilisateurs et Ordinateurs AD
    et vérifiez la présence de : Computers, Users, ForeignSecurityPrincipals

  • Default Domain Controllers Organizational Unit
    Ouvrez la MMC Utilisateurs et Ordinateurs AD, et vérifiez la présence de cette OU.

  • Premier-Site-Par-Defaut
    A vérifier en lançant la MMC Site et Servieces AD

  • Base de donnée Active Directory
    Le fichier
    Ntds.dit représente la base Active Directory. Verifiez sa présence dans %Systemroot%\Ntds.

  • Serveur Global Catalog (GC)

    Par défaut le premier DC devient GC. Pour le vérifier :
    1. Lancez la MMC Site et Services AD
    2. Double cliquez sur Sites, ouvrez Servers, et sélectionnez votre serveur
    3. Double cliquez sur votre Controleur de Domaine
    4. En dessous du serveur, un objet NTDS Settings est affiché. Cliquez bouton droit et sélectionnez Propriétés.
    5. Dans l'onglet General, Vérifiez que la boite Global Catalog est séléctionnée.

     

  • Domaine racine (Root Domain)

    Vérifiez ceci avec la commande net accounts. Le rôle du serveur doit être "primaire" ou "backup".
     
  • Partage Système

    Le volume SYSVOL est partagé dans %Systemroot%\Sysvol\Sysvol .
     
  • Enregistrements DNS SRV
    Vous devez avoir un serveur DNS installé et fonctionnel pour AD, ainsi que les clients qui y refèrent. Pour vérifier DNS sous Widnows Server, utilisez la MMC DNS et vérifiez que les enregistrements de zones et ressources sont bien créés pour chaque zone.
    AD crée ses enregistrements SRV dans les dossiers suivants :

    • _Msdcs/Dc/_Sites/Default-first-site-name/_Tcp
    • _Msdcs/Dc/_Tcp
    Pour les services suivants :
    • _kerberos
    • _ldap

Comment créer un domaine enfant ? -

 

Pour créer un domaine enfant, vous devez créer un nouveau serveur et suivre les instructions suivantes :

1. Démarrer / Exécuter : dcpromo.

2. Sur la page de sélection, cliquez sur Créer un domaine enfant dans un domaine existant.

3. Saisissez un nom d'utilisateur, mot de passe et domaine que vous souhaitez utiliser

4. Vérifiez le domaine parent et saisissez le domaine enfant

 

Comment créer une nouvelle forêt ? - toutwindows

 

1. Démarrer / Exécuter : dcpromo.

2. Sur la page de sélection, cliquez sur Arborescence de domaine dans une foret existante.

3. Saisissez un nom d'utilisateur, mot de passe et domaine que vous souhaitez utiliser

4. Vérifiez le domaine parent et saisissez le domaine enfant

 

 

 

 

Comment déterminer les rôles RID, PDC, et Infrastructure dans un domaine ?

  1. Démarrer / Executer dsa.msc
  2. Cliquez avec le bouton droit sur l'objet représentant le Domaine et sélectionnez Maitre d'Opération.
  3. Dans l'onglet CDP : vous visualisez le serveur ayant le rôle PDC
  4. Dans l'onglet Infrastructure : vous visualisez le serveur ayant le rôle Infrastructure
  5. Dans l'onglet RID : vous visualisez le serveur ayant le rôle RID

 

Comment déterminer le serveur Schema Master dans une forêt ? -

  1. Démarrer / Exécuter, mmc
  2. Dans le menu Fichier, Ajout d'un composant enfichable, choisissez la mmc Schéma Active Directory, puis OK
  3. Cliquez sur Active Directory Schéma avec le bouton droit puis choisissez Schema Active directory, afin de visualiser le serveur concerné

Comment créer une relation d'approbation entre deux forêts ? - t

  1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Domaines et approbations Active Directory.
  2. Dans l'arborescence de la console, cliquez avec le bouton droit sur le domaine avec lequel vous souhaitez établir une approbation, puis cliquez sur Propriétés.
  3. Cliquez sur l'onglet Approbations, puis sur Nouvelle approbation pour démarrer l'Assistant Nouvelle approbation.
  4. Cliquez sur Suivant.
  5. Sur la page Nom d'approbation, tapez le nom DNS ou NetBIOS du domaine, puis cliquez sur Suivant.
  6. Sur la page Type d'approbation, cliquez sur Approbation externe, puis sur Suivant.
  7. Sur la page Direction de l'approbation, appliquez l'une des méthodes suivantes :
    • Pour créer une approbation externe bidirectionnelle, cliquez sur Bidirectionnel. Les utilisateurs dans ce domaine et les utilisateurs dans le domaine spécifié peuvent accéder aux ressources situées dans l'un ou l'autre domaine.
    • Pour créer une approbation externe à sens unique, cliquez sur Sens unique : en entrée. Les utilisateurs dans le domaine spécifié ne peuvent accéder à aucune ressource dans ce domaine.
    • Pour créer une approbation externe à sens unique en sortie, cliquez sur Sens unique : en sortie. Les utilisateurs dans le domaine spécifié ne peuvent accéder à aucune ressource dans le domaine spécifié.
  8. Suivez les instructions affichées sur les autres pages de l'Assistant pour créer l'approbation externe.

Pour créer une relation d'approbation avec un domaineNT4, consultez http://support.microsoft.com/default.aspx?scid=kb;fr;325874


Comment vérifier les relations d'approbation ?
  1. Démarrez l'outil Domaines et approbations Active Directory. L'outil repère automatiquement un contrôleur de domaine pour y lire les données de relations d'approbation.
  2. L'icône affichée pour chaque domaine représente la racine de chacun des éléments de la hiérarchie. Le développement d'un de ces noeuds permet l'affichage de la hiérarchie des domaines enfants, s'il en existe. Pour afficher les relations d'approbation associées à un domaine particulier, cliquez avec le bouton droit sur le domaine, puis cliquez sur Propriétés.
  3. Cliquez sur l'onglet Approbations. Pour chacun des domaines que le domaine sélectionné approuve (approuvé) ou est approuvé par (autorisé à approuver) le domaine sélectionné, l'affichage présente le type de relation d'approbation et si celle-ci est ou non transitive. Il est également possible d'ajouter ou de supprimer des approbations au moyen de la même interface. Pour afficher des informations détaillées ou réinitialiser une relation d'approbation transitive, cliquez sur l'approbation voulue, puis cliquez sur Afficher/Modifier.

En utilisant netdom:

NETDOM TRUST trusting_domain_name /Domain:trusted_domain_name /Verify

Utilisation de l'outil NLTEST

L'utilitaire NLTEST du Kit de ressources permet l'affichage de la liste actuelle des domaines approuvés connus par un serveur donné. Pour chaque domaine listé, vous pouvez afficher les données suivantes :
  • Index d'approbation (spécifique à chaque contrôleur de domaine à mesure que les approbations sont énumérées)
  • Nom de domaine NetBIOS du domaine approuvé
  • Nom de domaine DNS du domaine approuvé
  • Type d'approbation (NT 4, NT 5, MIT ou DCE)
  • Un des indicateurs suivants :
    • Direct Outbound (sortant direct) : il existe une relation d'approbation directe entre le domaine associé au serveur interrogé et ce domaine.
    • Native (natif) : ce domaine est actuellement en mode natif.
    • Primary Domain (domaine principal) : il s'agit du domaine utilisé pour le serveur lors de l'interrogation.
    • Forest Tree Root (racine de l'arborescence de la forêt) : ce domaine représente la racine d'une arborescence dans une forêt.
    • Forest (forêt) : numéro d'index : pour ce domaine approuvé, le numéro d'index représente le numéro d'index de son domaine parent dans la même liste NLTEST.
Pour exécuter une demande sur un serveur spécifique, tapez NLTEST /server: nom du serveur /domaines_approuvés.

Comment effacer une relation d'approbation ?

Démarrez l'outil Domaines et approbations Active Directory.

1. Cliquez avec le bouton droit sur le domaine choisi et choisissez Propriétés

2. Sélectionnez la relation que vous souhaitez supprimer et sélectionnet Supprimer

3. Procédez de même pour les autres domaines

Comment gérer les sites et sous-réseaux ?

Vous devez utiliser les sites AD pour contrôler la réplication entre les sites, ainsi vous devez créer les sites supplémentaires et les sous-masques correspondants puis pouvez déléguer la gestion de ces sites.


Pour créer des sites, vous devez entrer en tant que membre du groupe d'Admins d'entreprise ou du groupe d'Admins de domaine dans le
domaine racine.

 
Pour créer un site procédez comme suit :

1. Ouvrez la MMC Sites et Services AD

2. Dans l'arborescence, cliquez avec le bouton droit sur Sites, et choisissez Nouveau Site

3. Donnez le nom du site

4. OK deux fois

 

Pour créer un objet de sous-réseau :

1. Ouvrez la MMC Sites et Services AD

2. Dans l'arborescence, double cliquez sur Sites, et cliquez bouton droit sur Masque de sous réseau choisissez Nouveau Sous Réseau

3. Saisissez le sous réseau et choisissez le site associé, puis validez.

 

Retour au début de la page

 Q16 - Comment déplacer un contrôleur de domaine vers un nouveau site ?    - toutwindows.com

Pour déplacer un contrôleur dans un site différent, il suffit de le déplacer dans Sites et services AD :

1. Ouvrez la MMC Sites et Services AD

2. Dans l'arborescence, double cliquez sur Sites, puis le site qui contient le contrôleur

3. Sélectionnez le contrôleur à déplacer puis cliquez avec le bouton droit

4. choisissez Déplacer

5. Sélectionner le site de destination puis validez

 

Retour au début de la page

 Q17 - Comment créer et configurer des liens entre sites ?   - - http://www.toutwindows.com
 

Les connexions entre sites sont importantes car elles permettent de répliquer les informations de AD. Lorsqu'on configure un lien entre deux sites, on définit les propriétés incluant les intervalles de réplication, la plannification et les associations de sites.

Procédure en Anglais

 

Retour au début de la page

Q18 - Comment gérer les topologies de sites ?    - toutwindows.com

 

Procédure en Anglais

 

Retour au début de la page

 Q19 - Comment transférer le rôle de contrôleur de schéma ?   - toutwindows.com
 

Transfert du rôle Contrôleur de schéma

  1. Cliquez sur Démarrer, cliquez sur Exécuter, tapez mmc dans la zone Ouvrir, puis cliquez sur OK.
  2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
  3. Cliquez sur Ajouter.
  4. Cliquez sur Schéma Active Directory, cliquez sur Ajouter, cliquez sur Fermer, puis cliquez sur OK.
  5. Dans l'arborescence de la console, cliquez avec le bouton droit sur Schéma Active Directory, puis cliquez sur Changer le contrôleur de domaine.
  6. Cliquez sur Spécifier un nom, tapez le nom du contrôleur de domaine qui va être le nouveau détenteur du rôle, puis cliquez sur OK.
  7. Cliquez avec le bouton droit sur Schéma Active Directory, puis cliquez sur Maître d'opérations.
  8. Cliquez sur Spécifier un nom, tapez le nom du contrôleur de domaine qui doit détenir le rôle de contrôleur de schéma, puis cliquez sur OK.
  9. Dans l'arborescence de la console, cliquez avec le bouton droit sur Schéma Active Directory, puis cliquez sur Maître d'opérations.
  10. Cliquez sur Modifier.
  11. Cliquez sur OK pour confirmer que vous voulez transférer le rôle, puis cliquez sur Fermer.

Retour au début de la page

 Q20 - Comment transférer le rôle Maître d'attribution de noms de domaine ?  - toutwindows.com
  1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Domaines et approbations Active Directory.
  2. Cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Se connecter au contrôleur de domaine.

    REMARQUE : Vous devez effectuer cette étape si vous ne vous trouvez pas sur le contrôleur de domaine vers lequel vous voulez transférer le rôle. Vous devez pas effectuer cette étape si vous êtes déjà connecté au contrôleur de domaine dont vous voulez transférer le rôle.
  3. Effectuez une des actions suivantes :
    • Dans la zone Entrez le nom d'un autre contrôleur de domaine, tapez le nom du contrôleur de domaine qui va détenir le nouveau rôle, puis cliquez sur OK.

      -ou-
    • Dans la liste Ou sélectionner un contrôleur de domaine disponible, cliquez sur le contrôleur de domaine qui va être le nouveau détenteur du rôle, puis cliquez sur OK.
  4. Dans l'arborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Maître d'opérations.
  5. Cliquez sur Modifier.
  6. Cliquez sur OK pour confirmer que vous voulez transférer le rôle, puis cliquez sur Fermer.

Retour au début de la page

 Q21 - Comment transférer les rôles Maître RID, Émulateur PDC et Contrôleur d'infrastructure ?  - http://www.ToutWindows.com

Transfert des rôles Maître RID, Émulateur PDC et Contrôleur d'infrastructure

  1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.
  2. Cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se connecter au contrôleur de domaine.

    REMARQUE : Vous devez effectuer cette étape si vous ne vous trouvez pas sur le contrôleur de domaine vers lequel vous voulez transférer le rôle. Vous devez pas effectuer cette étape si vous êtes déjà connecté au contrôleur de domaine dont vous voulez transférer le rôle.
  3. Effectuez une des actions suivantes :
    • Dans la zone Entrez le nom d'un autre contrôleur de domaine, tapez le nom du contrôleur de domaine qui va détenir le nouveau rôle, puis cliquez sur OK.

      -ou-
    • Dans la liste Ou sélectionner un contrôleur de domaine disponible, cliquez sur le contrôleur de domaine qui va être le nouveau détenteur du rôle, puis cliquez sur OK.
  4. Dans l'arborescence de la console, cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, pointez sur Toutes les tâches, puis cliquez sur Maître d'opérations.
  5. Cliquez sur l'onglet approprié pour le rôle que vous voulez transférer (RID, PDC ou Infrastructure), puis cliquez sur Modifier.
  6. Cliquez sur OK pour confirmer que vous voulez transférer le rôle, puis cliquez sur Fermer.

Retour au début de la page

 Q22 - Comment sauvegarder Active Directory ?   - http://www.ToutWindows.com
AD est sauvegardé lorsque vous effectuez une sauvegarde de l'état du Système, avec l'accessoire de sauvegarde fourni avec Windows.
  1. Cliquez sur Démarrer, pointez sur Programmes, Accessoires, Outils système, puis cliquez sur Sauvegarde.
  2. Cliquez sur l'onglet Sauvegarde.
  3. Activez la case à cocher État du système (tous les composants à sauvegarder figurent dans le volet droit ; vous ne pouvez pas sélectionner chaque élément individuellement).

    REMARQUE : Au cours de la sauvegarde de l'état système, vous devez choisir de sauvegarder le dossier Winnt\Sysvol. Vous devez également sélectionner cette option au cours de la restauration pour que le volume système fonctionne après la récupération.
Les informations suivantes s'appliquent uniquement aux contrôleurs de domaine. La restauration des serveurs membres est identique, si ce n'est qu'elle s'effectue en mode normal.

Si l'une des conditions suivantes n'est pas satisfaite, la restauration de l'état système n'a pas lieu. Le programme de sauvegarde tente de restaurer l'état système, mais échoue.
  • La lettre du lecteur sur lequel le dossier %RacineSystème% figure doit être identique à celle utilisée lors de la sauvegarde.
  • Le dossier %RacineSystème% doit être identique à celui utilisé lors de la sauvegarde.
  • Si le volume système ou d'autres bases de données Active Directory se trouvent sur un autre volume, ils doivent également exister et comporter les mêmes lettres de lecteur. La taille du volume n'a pas d'importance.
 Comment restaurer Active Directory ?
 

Il existe différentes méthodes de restauration, à choisir en fonction de l'état de votre AD :
Normale : si vous n'avez perdu qu'un DC, dans ce cas vous devez le réinstaller puis restaurer les données
Authoritaire : avec plusieurs DC, pour pouvoir sauvegarder ce que vous désirez.

Comment faire une restauration Normale :

  1. Pour restaurer l'état système sur un contrôleur de domaine, commencez par démarrer l'ordinateur en mode de restauration des services d'annuaire. Pour ce faire, redémarrez l'ordinateur et appuyez sur la touche F8 lorsque le menu Démarrage s'affiche.
  2. Choisissez Mode Restauration des services d'annuaire.
  3. Choisissez l'installation Windows 2000 à restaurer, puis appuyez sur ENTRÉE.
  4. À l'invite de connexion, indiquez les références de connexion du mode Restauration des services d'annuaire que vous aviez spécifiées au cours du processus Dcpromo.exe.
  5. Cliquez sur OK pour confirmer que vous utilisez le mode sans échec.
  6. Cliquez sur Démarrer, pointez sur Programmes, Accessoires, Outils système, puis cliquez sur Sauvegarde.
  7. Cliquez sur l'onglet Restaurer.
  8. Cliquez sur le support de sauvegarde approprié et l'état système à restaurer.

    REMARQUE : Au cours de la restauration, vous devez également sélectionner le dossier Winnt\Sysvol pour que le volume système fonctionne après la récupération. Assurez-vous que l'option avancée de restauration des points de jonction et des données est également sélectionnée avant la restauration. Ceci garantit que les points de jonction du volume système sont recréés.
  9. Dans la zone Restaurer les fichiers vers, cliquez sur Emplacement d'origine.

    REMARQUE : Lorsque vous choisissez de restaurer un fichier dans un autre emplacement ou dans un seul fichier, toutes les données de l'état système ne sont pas restaurées. Ces options servent principalement aux fichiers de démarrage ou aux clés du Registre.
  10. Cliquez sur Démarrer.
  11. Une fois la restauration terminée, redémarrez l'ordinateur.

Comment faire une Restauration autoritaire d'objet dans Active Directory (authoritative ) : 

Si vous ne souhaitez pas répliquer les modifications intervenues après la dernière opération de sauvegarde, vous devez procéder à une restauration forcée ou autoritaire. Par exemple, si vous avez supprimé, par inadvertance, des utilisateurs, des groupes ou des unités d'organisations et si vous voulez restaurer le système afin de récupérer et répliquer les objets supprimés.

N'effectuez jamais une restauration autoritaire de plusieurs contrôleurs de domaine en même temps !.

La restauration autoritaire d'un contrôleur de domaine recopie : AD (fichier NTDS), le Registre, le volume SYSVOL, les fichiers de démarrage(BOOT), la base de données COM+ et si il est installé le serveur des certificats.

Nous allons procéder à la restauration autoritaire d’une OU qui à été effacée par erreur, en utilisant la dernière sauvegarde du DC
1. Redémarrez le contrôleur de domaine
2. Lorsqu'on vous le propose, appuyez sur la touche F8 lors du démarrage du serveur
3. Dans le menu sélectionnez Mode restauration Active Directory
4. Ouvrez une session en tant qu’administrateur avec le mot de passe que vous avez entré lors de l'installation d'Active Directory.
5. Ensuite restaurer à partir de votre dernière sauvegarde l’état du système (soit ntbackup,BackupExec, ...). Faire attention de toujours remplacer le fichier %windir%\sysvol qui fait partie de l’état du système sur le disque.
6. Une fois la restauration terminée quittez le gestionnaire de sauvegardes
7. Répondre NON à la question "Voulez vous redémarrer votre ordinateur maintenant ?"
8. A l'invité de commande tapez ntdsutil
9. A l'invité de commande de ntdsutil, entrez : authoritative restore
10. tapez ensuite : restore subtree par exemple : OU=……,DC=support,DC=mtoo,DC=net
Vous pouvez utiliser la commande . restore database pour restaurer  l’intégralité de la base donnée
12. Quittez ntdsutil en tapant à deux reprises la commande Quit
13. Redémarrez le serveur Le redémarrage peut durer 15 a 30 minutes
14. Pour vous assurer d’avoir les fichiers les plus récents , Attendez que le Sysvol soit
publié et copiez par dessus le volume sysvol d'un autre contrôleur qui n’a pas été restauré
15. Vérifiez l’existence de l’unité d’organisation que vous venez de restaurez et ce qu’elle contient

Comment passer de Windows Server 2000 à Windows Server 2003 ?

La mise à niveau de 2000 vers 2003 fonctionne bien et est plus simple que la mise à niveau depuis NT4, il suffit pour cela de suivre le mode opératoire décrit dans la fiche ci-jointe :

Comment faire pour mettre à niveau des contrôleurs de domaine Windows 2000
vers Windows Server 2003
http://support.microsoft.com/default.aspx?scid=kb;fr;325379

En résumé, il faut préparer la foret et le domaine à la prise en charge des contrôleurs de domaine Windows 2003 :

adprep \forestprep sur le schema master de la foret
adprep \domainprep sur l'infrastructure master du domaine en question

Puis installer un serveur membre sous Windows 2003 dans le domaine et le promouvoir au rôle de DC.
Il faut ensuite transferer les roles FSMO sur la nouvelle machine avant d'enlever l'ancienne : cf

Q19 - Comment transférer le rôle de contrôleur de schéma ?, Q20 - Comment transférer le rôle Maître d'attribution de noms de domaine ? , et Q21 - Comment transférer les rôles Maître RID, Émulateur PDC et Contrôleur d'infrastructure ?

 

Comment déléguer l'autorité pour créer et gérer des objets de stratégie de groupe ?

 

Retour au début de la page

 Q30 -  

Les administrateurs peuvent déléguer l'autorité pour créer et gérer des objets Stratégie de groupe.

  1. Créez une unité d'organisation, puis créez un objet Stratégie de groupe directement lié à cette unité d'organisation. Pour ce faire, cliquez sur Propriétés dans le menu contextuel de l'unité d'organisation, cliquez sur l'onglet Stratégie de groupe dans la boîte de dialogue Propriétés, puis cliquez sur le bouton Nouveau. Une fois l'objet Stratégie de groupe créé, lancez l'Assistant Délégation de contrôle. Ce dernier propose une procédure pas à pas permettant de déléguer facilement et avec beaucoup de précision des fonctionnalités spécifiques.

    REMARQUE : Pour démarrer l'Assistant Délégation de contrôle, sélectionnez l'unité d'organisation appropriée, puis cliquez dessus avec le bouton droit. Sélectionnez ensuite Délégation de contrôle. Cela lance l'Assistant Délégation de contrôle.
  2. Cliquez sur Propriétés dans le menu contextuel de l'objet Stratégie de groupe, puis cliquez sur l'onglet Sécurité pour accéder directement aux paramètres de sécurité de l'objet Stratégie de groupe concerné. Ajoutez votre utilisateur qui n'est pas un administrateur à la liste des utilisateurs pour lesquels la sécurité est définie.
  3. Attribuez à votre utilisateur le privilège Contrôle total - Autoriser. Ce privilège permet à l'utilisateur d'écrire dans l'objet Stratégie de groupe, ainsi que de modifier les autorisations de sécurité définies sur ce dernier. Si vous souhaitez empêcher cet utilisateur de définir la sécurité, vous pouvez choisir de lui octroyer uniquement l'autorisation Écriture - Autoriser.

    Vous pouvez aussi empêcher l'utilisateur d'appliquer cette stratégie en désactivant le privilège Appliquer la stratégie de groupe - Autoriser.
  4. Pour simplifier l'administration pour l'utilisateur, lancez la console MMC (Mmc.exe) et ajoutez le composant logiciel enfichable Stratégie de groupe. Naviguez jusqu'à l'objet Stratégie de groupe que vous configurez pour la délégation, puis ajoutez-le. Une fois cette session MMC correctement configurée, enregistrez-la et donnez-la à l'utilisateur. L'utilisateur peut alors utiliser et administrer l'objet Stratégie de groupe sans aucune configuration supplémentaire.

Impossible d'ajouter un nouveau DC dans un domaine, pourquoi ?

 

 

Voici différents points à vérifier :

1. Vérifiez que le serveur se réfère bien au DNS qui héberge AD
2. Ouvrez le console DNS, et vérifiez que vous voyez bien la zone de votre domaine
3. Vérifiez les propriétés de cette zone, qu'elle accepte les mises à jour dynamiques
4. Vérifiez la présence de 4 fichiers et de quelques enregistrements dans cette zone (_MSDCS, _SITES, _TCP, _UDP) .
5. Lancez IPconfig /registerdns
6. Lancez net stop netlogon puis net start netlogon (cela force le service netlogon à enregistrer de nouveau ses enregistrements SRV dans la zone DNS. Ces enregistrements seront dans %windir%\system32\config\netlogon.dns).
7. Re vérifiez les zones DNS comme à l'étape 4.
8. Si les zones ne sont pas la, essayez netdiag.exe /fix (support tools)

L'ouverture de session est très lente, pourquoi ?

Lorsque vous ouvrez une session dans un domaine, votre PC a besoin de contacter un ou plusieurs serveurs. La configuration réseau doit donc être correcte :

1. vérifiez que le PC se réfère bien au DNS utilisé par Active Directory, si votre PC à accès à internet, il ne doit pas envoyer ses requêtes directement au fournisseur d'accès internet, c'est le serveur DNS de votre réseau qui doit rediriger les requêtes, voir la page de configuration DNS

2. Vérifiez les autres paramètres de votre configuration IP :
Etes vous dans le même sous réseau que le serveur, utilisez vous le même masque ?

3. Vérifiez votre serveur DNS :
_ s'il ne s'agit pas d'un serveur Microsoft, vérifiez les pré requis
ici
_ si c'est un serveur Microsoft, vérifiez que celui-ci
, lancez un dcdiag et un netdiag pour avoir des diagnostics plus précis

4. Si vous utilisez un serveur DHCP, vérifiez celui-ci : donne-t-il des paramètres réseau (IP, masque, routeur, DNS) correct, plus d'infos ici

WinXP64 bits

©2011 - Borgeaud.com - Tous droits réservés - e-mail