The WinOps Blog

Après quelques étapes basiques, voici les étapes les plus importantes :

Choisissez le niveau fonctionnel de votre domaine :

• Le niveau fonctionnel de la forêt Windows 2000 offre toutes les fonctionnalités des services de domaine Active Directory disponibles dans Windows 2000 Server. Si vous disposez de contrôleurs de domaine exécutant des versions ultérieures de Windows Server, certaines fonctionnalités avancées ne seront pas disponibles sur ces contrôleurs de domaine tant que la forêt restera au niveau fonctionnel Windows 2000.
• Le niveau fonctionnel de la forêt Windows Server 2003 offre toutes les fonctionnalités disponibles dans le niveau fonctionnel de la forêt Windows 2000, ainsi que les fonctionnalités supplémentaires suivantes :
  - Réplication de valeurs liées, qui améliore la réplication des
  modifications aux appartenances aux groupes.
  - Génération plus efficace des topologies de réplication complexes
  par le vérificateur de cohérence des données.
  - Approbation de forêts, qui permet aux organisations de partager aisément
  des ressources internes entre plusieurs forêts.
  Tous les nouveaux domaines créés dans cette forêt fonctionneront automatiquement au niveau fonctionnel du domaine Windows Server 2003.
• Ce niveau fonctionnel de forêt n’offre pas de fonctionnalités supplémentaires par rapport au niveau fonctionnel de la forêt Windows 2003. Il permet seulement de garantir que tous les domaines créés dans cette forêt fonctionneront automatiquement dans le niveau fonctionnel de domaine Windows Server 2008 qui, lui, offre des fonctionnalités uniques.
• Le niveau fonctionnel de forêt Windows Server 2008 R2 procure toutes les fonctionnalités disponibles dans le niveau fonctionnel de forêt Windows Server 2008, ainsi que les fonctionnalités supplémentaires suivantes :
  - Corbeille, qui, lorsqu’elle est activée, permet de restaurer des objets supprimés
  dans leur intégralité pendant que les services de domaine Active Directory s’exécutent.
  Tout nouveau domaine créé dans cette forêt fonctionne par défaut au niveau fonctionnel de domaine Windows Server 2008 R2.

Le premier contrôleur de domaine d’une forêt doit être un serveur de catalogue global et ne peut pas être un contrôleur de domaine en lecture seule (RODC).
Sauf cas très particulier, vous allez installer le service Serveur DNS sur le premier contrôleur de domaine, l'assistant s'en charge automatiquement.

Considérations de sauvegarde et de récupération pour le placement des fichiers AD

Pour une installation simple dans laquelle le serveur ne dispose que d’un seul disque dur, vous pouvez vous contenter d’accepter les paramètres d’installation par défaut qui sont fournis par l’Assistant Installation des services de domaine Active Directory. Toutefois, vous devez créer au moins deux volumes sur ce disque dur unique. Un volume est requis pour les données de volumes critiques et un autre à des fins de sauvegarde.

Lorsque vous utilisez l’utilitaire Sauvegarde de Windows Server ou l’outil en ligne de commande Wbadmin.exe pour sauvegarder un contrôleur de domaine, vous devez au moins sauvegarder les données sur l’état du système, de façon à pouvoir utiliser la sauvegarde pour récupérer le serveur. Le volume que vous utilisez pour stocker les sauvegardes ne peut pas être le même que celui qui héberge les données sur l’état du système. Cet impératif peut affecter l’emplacement où vous décidez de stocker les fichiers AD DS. Les composants système qui forment les données sur l’état du système dépendent des rôles de serveurs installés sur l’ordinateur.

Par exemple, si vous installez les services AD DS sur un serveur disposant d’un seul disque dur, vous pouvez créer les volumes logiques suivants pour prendre en charge les sauvegardes :

• Le lecteur C qui héberge l’ensemble des données de volumes critiques
• Le lecteur D qui sert de cible à la Sauvegarde de Windows Server ou à Wbadmin.exe

Pour plus d’informations sur la sauvegarde et la récupération d’un contrôleur de domaine, voir le Guide pas à pas de sauvegarde et de récupération des services de domaine Active Directory (http://go.microsoft.com/fwlink/?LinkId=93077).

Considérations de performances pour le placement des fichiers AD DS

Pour des installations plus complexes, vous pouvez configurer votre stockage sur disque dur afin d’optimiser les performances des services AD DS. Étant donné que la base de données et les fichiers journaux utilisent l’espace de stockage sur disque de différentes manières, vous pouvez améliorer les performances des services AD DS en utilisant des disques durs séparées.

Le mot de passe de restauration des services d’annuaire (DSRM) est requis pour se connecter à un contrôleur de domaine lorsque les services de domaine Active Directory (AD DS) ne sont pas en cours d’exécution, soit parce qu’ils sont arrêtés, soit parce que le contrôleur de domaine a été démarré en mode de restauration des services d’annuaire.

Si vous créez le premier contrôleur de domaine de la forêt, la stratégie de mot de passe en vigueur sur le serveur local est appliquée par l’Assistant Installation des services de domaine Active Directory.

Il est possible de créer un fichier de réponse, afin d'automatiser l'action que vous venez d'effectuer.
Le fichier de réponses obtenu lors de cet exemple contient ceci :
; DCPROMO unattend file (automatically generated by dcpromo)
; Usage:
; dcpromo.exe /unattend:D:\Users\Administrateur\Desktop\reponse.txt
;
[DCInstall]
; New forest promotion
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=mtoo.local
ForestLevel=4
DomainNetbiosName=MTOO
DomainLevel=4
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=No
DatabasePath="D:\Windows\NTDS"
LogPath="D:\Windows\NTDS"
SYSVOLPath="D:\Windows\SYSVOL"
; Set SafeModeAdminPassword to the correct value prior to using the unattend file
SafeModeAdminPassword=
; Run-time flags (optional)
; RebootOnCompletion=Yes

Les différentes étapes de la création du domaine s'éxécutent ensuite automatiquement :
Installation de la Console de gestion de stratégies de groupe
Configuration du serveur
Création des objets dans l'annuaire
DNS
Protection de la sécurité du serveur

Les services de domaine Active Directory sont maintenant installés sur cet ordinateur pour le domaine « mtoo.local ».
Ce contrôleur de domaine Active Directory est attribué au site « Default-First-Site-Name ».

Vous pouvez gérer Active Directory à l'aide des consoles de gestion suivantes :
_ Active Directory Administrative Center
_ Active Directory Domains and Trusts
_ Active Directory PowerShell Snap-In
_ Active Directory Sites and Services
_ Active Directory Users and Computers

Active Directory Administrative Center : le centre d'administration Active Directory est une console personnalisable vous permettant de parcourir le domaine et d'accéder à certaines fonctions de base, rapidement.

La console de gestion des domaines et approbation permet de changer le niveau fonctionnel de votre domaine et de gérer les relations d'approbations entre domaines et forêts.

Le Snap-In Powershell vous permet de gérer AD en ligne de commande.
Vous pouvez par exemple parcourir votre AD en ligne de commande (cf à droite).
http://technet.microsoft.com/fr-fr/library/dd378783(WS.10).aspx

La console Sites et Service permet de gérer les sites et sous réseaux des Active Directory multi sites et complexes.

La console Utilisateurs et ordinateurs Active Directory est probablement la plus utile : c'est celle qui vous permettra de gérer les comptes des utilisateurs et des ordinateurs.