Services Active Directory et domaines Windows 2000 ou Windows Server 2003 (2ème partie)

Résumé

Les informations contenues dans cet article sont partiellement fournies par : .

Cet article est la seconde partie d'une série de deux articles expliquant le fonctionnement des services Active Directory et des domaines Windows 2000 ou Windows Server 2003. Pour afficher la première partie, cliquez sur le lien suivant :

Services Active Directory et domaines Windows 2000 ou Windows Server 2003 (1ère partie) Les rubriques suivantes sont traitées dans la deuxième partie :

  • Limites administratives

    • Domaines

    • Unités d'organisation

  • Interaction avec Active Directory

    • Émulation de la hiérarchie du domaine

    • Catalogage du domaine (la partition d'annuaire)

    • Partitionnement de l'annuaire

    • Obtention d'informations sur des objets situés dans un autre domaine

      • Distribution de l'annuaire

      • Réplication de l'annuaire

    • Catalogage de l'entreprise (le catalogue global)

  • Conclusions

Ces informations constituent un extrait du chapitre 3 du livre en anglais Active Directory Services for Microsoft Windows 2000 Technical Reference (Référence technique des services Active Directory pour Microsoft Windows 2000) : "Active Directory Services and Windows 2000 Domains" ("Services Active Directory et domaines Windows 2000"). En savoir plus sur . Ce livre a été mis à jour pour contenir des informations applicables à Microsoft Windows Server 2003.

Plus d'informations

Limites administratives

La réduction du nombre de relations d'approbation devant être gérées est une amélioration considérable de Windows 2000 et Windows Server 2003. Toutefois, une autre amélioration était vivement souhaitable, et ce dans le domaine des limites administratives. Dans Microsoft Windows NT 4.0 et version antérieure, les administrateurs qui devaient administrer des sous-ensembles d'utilisateurs ou de groupes au sein d'un domaine Windows NT donné devaient disposer d'autorisations administratives étendues sur l'ensemble du domaine. Même si leurs droits d'administrateur n'avaient normalement pas dû s'étendre à l'ensemble du domaine, les droits nécessaires pour effectuer cette tâche de gestion rendaient indispensable l'octroi de ces droits étendus. Dans Windows 2000 et Windows Server 2003, ceci a été modifié avec l'introduction d'unités d'organisation (UO).

Domaines

Le domaine Windows 2000 ou Windows Server 2003 est une limite administrative. Les droits d'administration ne dépassent pas les limites d'un domaine ni ne sont automatiquement transférés sur l'ensemble d'une arborescence de domaine Windows 2000 ou Windows Server 2003. Par exemple, dans le cas d'une arborescence de domaine comprenant les domaines A, B et C, où A est le domaine parent de B et B celui de C, les utilisateurs disposant de droits d'administration sur le domaine A ne disposent pas des mêmes droits sur le domaine B, et ceux disposant de droits d'administration sur B ne disposent pas de ces droits sur C. Pour obtenir des droits d'administration sur un domaine donné, une autorité supérieure doit les accorder. Ceci ne signifie toutefois pas qu'un administrateur ne peut pas disposer de droits d'administration dans plusieurs domaines ; cela signifie simplement que tous les droits doivent être définis de manière explicite.

Unités d'organisation

Les unités d'organisation (UO) permettent aux administrateurs de créer des limites administratives au sein d'un domaine. Grâce aux UO, les administrateurs peuvent déléguer des tâches administratives à d'autres administrateurs subordonnés sans leur accorder de privilèges administratifs étendus sur l'ensemble du domaine.

L'exemple suivant démontre l'utilité des unités d'organisation. Supposons que le service de vente de votre organisation dispose de ses propres administrateurs et ressources réseau telles que des imprimantes et des serveurs, et assure le financement de ces ressources au moyen d'un budget propre. Les administrateurs réseau du service souhaitent obtenir le contrôle des ressources du service, ainsi que des stratégies et d'autres éléments administratifs au sein de celui-ci. Toutefois, le service de vente fait partie du domaine d'entreprise.

Dans un réseau Windows NT 4, les administrateurs du service de vente devraient être ajoutés au groupe d'administrateurs du domaine pour disposer des droits d'administration dont ils ont besoin pour administrer l'unité de service de vente. L'appartenance à ce groupe d'administrateurs leur donnerait le contrôle administratif de l'ensemble du domaine d'entreprise (et pas seulement de l'unité de service de vente). L'octroi de droits aussi étendus ne serait pas approprié, mais ce serait la seule manière d'accorder aux administrateurs du service de vente le contrôle des ressources et stratégies du service.


Ceci a été modifié dans Windows 2000 et Windows Server 2003, grâce à l'introduction d'unités d'organisation. Dans un réseau Windows 2000 ou Windows Server 2003, les superviseurs du réseau peuvent créer des UO, y compris une UO du service de vente, au sein même de la structure du domaine et établir ainsi de nouvelles limites administratives plus restreintes.

Par exemple, vous pourriez créer une unité d'organisation pour le service de vente et accorder aux administrateurs du service des droits d'administration complets uniquement pour cette UO et non pour les autres secteurs du domaine d'entreprise. Grâce à la création d'unités d'organisation, le groupe des administrateurs du domaine (qui accorde des droits d'administration sur l'ensemble du domaine, y compris ses UO) peut être limité aux administrateurs dont les responsabilités couvrent l'ensemble du domaine. Ceci permet d'obtenir une sécurité accrue et un réseau mieux géré.

Et si votre organisation a besoin d'unités d'organisation au sein d'unités d'organisation? Est-il possible d'imbriquer des UO ? La réponse à cette question est Oui, mais il existe certaines limites dues à la perte de performances. Vous pouvez imbriquer des UO, mais vous rencontrerez des problèmes de performances si vous les imbriquez sur plus de 15 niveaux. Il existe d'autres considérations pouvant affecter votre décision d'imbriquer ou non des UO (ou même d'utiliser ou non des UO). Elles sont abordées en détail au chapitre 7 "Planning an Active Directory Implementation" ("Planification d'une implémentation Active Directory").

Interaction avec Active Directory

Quel est le rôle des services Active Directory dans tout cela ? Et pourquoi est-il absolument nécessaire de bien comprendre les domaines et la structure de domaine pour comprendre la configuration requise pour les services Active Directory ? Parce qu'Active Directory est lié inextricablement à la structure de domaine de votre déploiement Windows 2000 ou Windows Server 2003.

Émulation de la hiérarchie de domaine

Comme nous l'avons déjà vu, les domaines Windows 2000 et Windows Server 2003 forment une hiérarchie de domaine et une ou plusieurs hiérarchies de domaine peuvent constituer une forêt. L'annuaire, en tant qu'unité complète, est simplement la collection de tous les objets situés dans la forêt. Toutefois, pour assurer que les services Active Directory puissent être étendus à des millions d'objets dans un seul annuaire, il était nécessaire de mettre en place une stratégie pour "casser" l'annuaire en morceaux ; en effet, un annuaire gigantesque non partitionné serait difficilement évolutif. La solution était donc de partitionner l'annuaire, préservant ainsi son caractère évolutif et son niveau de performances.

Le schéma de partitionnement Active émule la hiérarchie de domaine Windows 2000 ou Windows Server 2003. L'unité de partition des services Active Directory est donc le domaine.

Cette émulation de la hiérarchie de domaine atteint plusieurs objectifs :

  • Elle assure le caractère évolutif de l'annuaire.

  • Elle maximise les performances.

  • Elle minimise la surcharge de réplication.

La section ci-dessous explique en détail comment le schéma de partitionnement Active Directory émule la hiérarchie de domaine, pourquoi ceci assure le caractère évolutif de l'annuaire et maximise ses performances, et comment cette émulation de la structure de domaine peut minimiser la surcharge de réplication.

Catalogage du domaine (la partition d'annuaire)

L'objectif principal des services Active Directory est de créer un catalogue des objets qui résident dans la forêt. Bien sûr, le catalogue ne serait pas très utile si sa taille le rendait lent et de manipulation difficile. Par exemple, imaginez tous les amis que vous pourriez emmener à des vacances de ski si vous possédiez comme véhicule un car de ramassage scolaire... Mais essayez de faire un créneau avec ou de monter sur un col de montagne, ou de garer le car dans votre garage ! Une solution préférable serait d'avoir un convoi de voitures particulières, chacune emmenant des skieurs qui vivent dans le même quartier. Vous éviteriez ainsi la montée pénible du col, et vous trouveriez des places de parking disséminées dans le parking. Qui mieux est, chaque voiture servirait à reconduire à domicile un petit nombre de skieurs, ce qui permettrait à tous d'être plus rapidement chez eux que s'ils étaient tous dans un seul car.

Pour poursuivre l'analogie, imaginez le problème posé si vous vous faisiez d'autres amis amateurs de ski. S'ils étaient trop nombreux, ils ne pourraient pas tous rentrer dans le car. Dans ce cas, vous devriez acheter un nouveau car encore plus grand, qui serait encore plus encombrant que le précédent. Et comme vous inviteriez plus de skieurs, cela prendrait encore plus de temps de déposer chacun chez soi au retour. Par contre, si vous utilisez des voitures, il vous suffit d'ajouter de nouvelles voitures au convoi lorsque vous invitez de nouveaux amis ; vous ne causez aucun dérangement à vos anciens amis et personne ne doit attendre au retour. Les services Active Directory vous permettent d'éviter la solution du car bondé. Plutôt, l'annuaire est divisé en plusieurs sections - tout comme le convoi de voitures - et les avantages de cette solution sont comparables à ceux de la solution du convoi, quoique bien plus étendus.

Partitionnement de l'annuaire

Pour aider le lecteur à imaginer la manière dont les services Active Directory sont partitionnés dans une forêt, nous avons pris l'exemple d'une simple forêt. La figure 3-5 illustre notre forêt exemple et son unique arborescence de domaine.


Figure 3-5. La hiérarchie de domaine A, B, C, D, E et F

La forêt comprend tous les domaines illustrés dans la figure 3-5. L'ensemble de l'annuaire consiste en tous les objets contenus dans tous les domaines de la forêt. Toutefois, pour assurer le caractère évolutif de l'annuaire et augmenter ses performances, vous devez le diviser en plusieurs parties, dont l'agrégation formerait l'annuaire complet.

N'oubliez pas que dans Windows 2000 et Windows Server 2003, l'unité de partitionnement est le domaine. Par conséquent, dans notre exemple de hiérarchie de domaine, nous pouvons comparer la hiérarchie de domaine logique à la manière dont l'annuaire est partitionné. La figure 36 compare la hiérarchie de domaine au catalogue de l'annuaire. Comme vous pouvez le constater, l'annuaire est simplement une agrégation des partitions de chaque domaine.


Figure 3-6. La relation entre hiérarchie de domaine et partition d'annuaire

N'oubliez pas que des arborescences non contiguës dans la même forêt forment tout de même un annuaire. Ne confondez pas les arborescences avec les forêts, ni la limite de l'entreprise (la forêt) avec le caractère contigu d'une arborescence de domaine donnée au sein de la forêt (l'arborescence). La plupart des organisations pourront sans doute planifier et déployer une seule arborescence (équivalente à un seul espace de noms) qui constituera leur forêt. Ceci représente la solution de déploiement la plus facile à développer, à gérer et à maintenir. Mais les déploiements ne sont malheureusement pas tous aussi linéaires, par exemple dans le cas d'acquisitions, et il est donc important de garder à l'esprit l'équation suivante :

Une forêt = un schéma = un catalogue d'annuaire Vous devez également garder à l'esprit le fait qu'un domaine unique constitue tout de même une forêt. Si vous avez la chance de pouvoir concevoir votre structure de domaine Windows 2000 ou Windows Server 2003 avec un seul domaine, votre domaine constituera alors l'ensemble de la forêt. Qu'est-ce que cela signifie ? Cela signifie que l'ensemble du catalogue d'annuaire sera contenu dans une unité non partitionnée. (Le domaine est l'unité de partitionnement -- un domaine = une partition.)

L'un des plus grands avantages du partitionnement du catalogue d'annuaire est peut-être le caractère évolutif du catalogue, particulièrement lors de l'ajout d'un domaine à l'arborescence de domaine, ou même celui d'une arborescence de domaine complète à la forêt. L'ajout d'un domaine ou d'une arborescence de domaine n'ajoute aucun fardeau d'administration ou de réplication supplémentaire à la hiérarchie de domaine et à la structure administrative existantes. Du fait du partitionnement de l'annuaire, et parce que chaque contrôleur de domaine dans un domaine donné contient uniquement les informations de catalogue d'annuaire spécifiques à son domaine, les performances réseau et le caractère évolutif de l'annuaire ne sont pas affectés lors de l'ajout d'un domaine ou même d'une arborescence de domaine à la forêt. Lorsqu'il est conjugué aux nouvelles relations d'approbation transitives établies entre les domaines de la même forêt, ce partitionnement du catalogue d'annuaire rend possible l'extension vers des déploiements d'entreprise de grande envergure avec les services Active Directory et Windows 2000 ou Windows Server 2003.

Obtention d'informations sur les objets situés dans un autre domaine

Toutes ces précisions sur le partitionnement du catalogue d'annuaire ne nous expliquent toutefois pas comment les utilisateurs d'un domaine peuvent accéder aux informations d'une partition située dans un autre domaine. En effet, si les contrôleurs de domaine situés dans un domaine contiennent uniquement des informations sur les objets situés dans leur domaine, que se passe-t-il si des utilisateurs souhaitent avoir des informations sur des objets qui résident dans un autre domaine ? La réponse est simple : les services Active Directory utilisent les requêtes et recherches DNS pour résoudre les requêtes, tout comme Internet.

Bien que les services Active Directory et Windows 2000 ou Windows Server 2003 utilisent DNS pour leur service de recherche, ils utilisent tous deux une entrée d'enregistrement de ressource Emplacement du service (SRV) qui désigne une entrée DNS donnée comme contrôleur de domaine. Les contrôleurs de domaine, à leur tour, déterminent s'ils sont en mesure de résoudre une requête, comme s'il s'agissait d'un objet résidant dans leur domaine local. S'ils ne peuvent pas résoudre la requête, celle-ci se réfère à un contrôleur de domaine qui peut ou bien résoudre la requête lui-même, ou bien pointer vers le prochain serveur logique sur lequel la requête peut être effectuée. Finalement, le contrôleur de domaine en mesure de résoudre la requête est trouvé (ou est déclaré introuvable) et le client se réfère à ce serveur pour poursuivre le processus de requête.

Les requêtes DNS sont expliquées en plus de détails au chapitre 6 "Active Directory Services and DNS" ("Services Active Directory et DNS").

Distribution de l'annuaire

Les points restant à éclaircir concernent la méthode de distribution de l'annuaire partitionné et l'interaction de ce dernier avec le modèle de domaine Windows 2000 ou Windows Server 2003. Dans Windows 2000 et Windows Server 2003, chaque contrôleur de domaine dans un domaine donné contient une copie de la partition d'annuaire pour son domaine, ce qui permet à chaque contrôleur de résoudre localement les requêtes concernant des objets situés dans le domaine auquel il appartient.

Cette approche est logique car dans de nombreux cas, les utilisateurs (ou les autres entités qui utilisent les services Active Directory) utilisent les ressources réseau locales plus souvent que celles situées dans un domaine distant. En distribuant une copie de la partition de domaine à chaque contrôleur du domaine (et en rendant chacune de ces copies accessibles en écriture et en lecture), les améliorations suivantes sont réalisées :

  • Les performances sont améliorées car n'importe quel contrôleur de domaine peut effectuer des recherches locales concernant des objets situés dans son domaine.

  • Le caractère évolutif de l'annuaire est préservé car chaque contrôleur de domaine contient une copie maître accessible en lecture et en écriture de la partition du catalogue d'annuaire.

  • Le caractère évolutif de l'annuaire est également assuré par le fait de partager entre plusieurs ordinateurs la tâche d'effectuer les mises à jour pour l'annuaire.

Cette approche est particulièrement utile lorsque la topologie du réseau comprend des sites ou bureaux distants. En plaçant un contrôleur de domaine (qui, par définition, contient une copie de la partition du catalogue d'annuaire) sur un site distant, les requêtes utilisateur peuvent être résolues localement. Ceci permet de minimiser l'utilisation de ressources de réseau étendu (WAN), qui peuvent être plus coûteuses ou plus limitées. L'avantage de placer un contrôleur de domaine sur un site ou un bureau distants ne se limite pas à la seule économie de ressources WAN : la disponibilité du contrôleur de domaine (et de sa partition du catalogue d'annuaire) sur le réseau local (LAN) du site distant permet en outre d'améliorer la performance des requêtes.

Réplication de l'annuaire

Puisque chaque contrôleur de domaine contient une copie maître accessible en écriture de la partition Active Directory pour son domaine, toute modification apportée à une partition du domaine peut l'être à partir de n'importe quel contrôleur de domaine disponible. Lors d'une modification sur un contrôleur de domaine, il doit y avoir moyen de répliquer cette mise à jour sur d'autres contrôleurs de domaine. Ce processus de distribution des informations mises à jour aux contrôleurs de domaine appropriés se nomme réplication.

Dans Windows 2000 et Windows Server 2003, l'unité de réplication est la partition de domaine. Toutefois, seules les modifications effectuées au niveau des attributs d'un objet donné sont répliquées vers d'autres contrôleurs de domaine, plutôt que l'objet entier. Ceci permet une réduction considérable du trafic de réplication - et plus le trafic lié au fonctionnement du réseau est limité, meilleure est la solution.

La priorité de mise à jour est déterminée par l'utilisation de numéros de séquence des mises à jour (USN). Plutôt que de comparer les valeurs des attributs d'objet, les services Active Directory utilisent un numéro courant (l'USN) pour déterminer si la réplication doit être effectuée, et si oui quelles valeurs d'attributs d'objets doivent être transmises. Pour plus d'informations sur les USN, reportez-vous à la section "Replication" ("Réplication") du chapitre 4 "Active Directory Scalability Architecture" ("Architecture d'évolutivité dans Active Directory"). Cette implémentation des USN constitue un autre avantage du domaine en tant qu'unité de partitionnement ; elle limite le trafic de réplication (qui est déjà limité aux modifications d'attribut) aux bornes du domaine dans lequel les modifications ont été apportées.

Catalogage de l'entreprise (le catalogue global)

Enfin, les services Active Directory doivent pouvoir répondre rapidement aux requêtes des utilisateurs. Bien qu'un grand nombre de requêtes utilisateur concernent le domaine auquel appartient l'utilisateur, beaucoup ne sont pas spécifiques à un domaine et sont dirigées à l'ensemble de l'entreprise : par exemple, les requêtes de nom de messagerie électronique. Un service d'annuaire basé sur les performances au sein de l'entreprise doit être en mesure de traiter ce type fréquent de requêtes globales sans générer de trafic réseau superflu et sans devoir passer par de nombreux renvois de requête. La réponse à ce défi est un catalogue d'annuaire contenant un sous-ensemble d'attributs pour chaque objet situé dans l'entreprise. De fait, il doit s'agir d'un catalogue d'attributs d'objets qui sont globalement intéressants. Pour les services Active Directory, le catalogue global constitue la solution. Le catalogue global consiste en une sélection d'attributs de chaque objet de l'entreprise, ce qui signifie que les attributs sélectionnés pour chaque objet de la forêt sont disponibles pour les requêtes locales dans un domaine. Tout comme Microsoft a créé un ensemble d'objets par défaut dans le schéma, les attributs par défaut de chaque objet du schéma sont marqués pour être inclus dans le catalogue global. (Vous n'aurez peut-être jamais besoin de modifier ces attributs, mais vous pouvez le faire.) La plupart des objets ont environ 15 attributs et environ sept de ces attributs sont marqués pour être inclus dans le catalogue global.

Ce dernier réside dans des contrôleurs de domaine sélectionnés dans chaque domaine et traite les requêtes spécifiques aux recherches globales. Lorsqu'un utilisateur envoie une requête globale basée sur l'attribut d'un objet, si cet attribut est marqué pour être inclus dans le catalogue global, la requête peut être résolue par un contrôleur de domaine situé dans le domaine local et contenant une copie du catalogue global. Puisqu'au moins un contrôleur de domaine contient une copie du catalogue global dans chaque domaine, les requêtes dirigées vers des recherches globales peuvent être effectuées et résolues rapidement. Les attributs inclus dans le catalogue global ont été sélectionnés parce qu'ils ne sont pas modifiés très souvent, ce qui est souhaitable. L'utilisation d'informations statiques dans le catalogue global minimise le trafic de réplication ; en effet, toute modification d'un attribut d'objet marqué pour être inclus dans le catalogue global doit être répliquée sur tous les contrôleurs de domaine possédant une copie du catalogue global dans toute l'entreprise. Outre l'avantage de minimiser le trafic de réplication, les informations statiques sont généralement plus appropriées pour les recherches globales.

Conclusions

Les domaines Windows 2000 ou Windows Server 2003 et les services Active Directory sont deux facettes de la même solution ; les domaines sont des limites administratives, ainsi que des limites de partitionnement et de réplication pour les services Active Directory. Tout comme la forêt Windows 2000 ou Windows Server 2003 est la structure d'organisation exhaustive pour les domaines Windows 2000 et Windows Server 2003, la forêt Windows 2000 ou Windows Server 2003 est la structure d'objets exhaustive pour les services Active Directory, ainsi que le cadre dans lequel tous les objets sont définis par un seul schéma. En bref, la structure de domaine est la structure des services Active Directory. Si vous ne comprenez pas les domaines Windows 2000 ou Windows Server 2003, vous ne pourrez pas comprendre le fonctionnement des services Active Directory ; c'est la raison pour laquelle les domaines ont été l'objet de tant d'attention dans ce chapitre et dans cette section du livre.

Le caractère évolutif de l'annuaire est assuré dans Windows 2000 et Windows Server 2003 car les domaines ne font plus appel à des relations d'approbation bidirectionnelles exhaustives ; désormais, les approbations sont créées de manière implicite et augmentées lorsqu'un domaine Windows 2000 ou Windows Server 2003 doit interagir avec des domaines de niveau inférieur ou lorsque des approbations doivent être créées avec des domaines externes à la forêt. Le caractère évolutif de l'annuaire est également assuré par le fait que le schéma de partitionnement au niveau du domaine des services Active Directory minimise l'impact de l'ajout de domaines ; ceci signifie que les services Active Directory peuvent s'étendre à des réseaux aussi étendus qu'Internet.

En dépit du partitionnement des services Active Directory et du modèle de domaine Windows 2000 ou Windows Server 2003, la cohésion d'un environnement réseau Windows 2000 et Windows Server 2003 est assurée par le catalogue global. En ne conservant que les attributs d'objet sélectionnés dans un catalogue étendu sur l'ensemble de l'entreprise, les attributs d'objet qui sont souvent recherchés deviennent facilement accessibles, indépendamment du domaine de provenance de la requête ou de l'emplacement de l'objet cible dans l'organisation.

Bien sûr, la terminologie de domaine Windows 2000 ou Windows Server 2003 n'est pas toujours évidente, et il est parfois difficile de comprendre clairement le pourquoi de la création de conteneurs hiérarchiques et organisationnels tels que les forêts, les domaines et les unités d'organisation. Vous pourrez peut-être y arriver plus facilement en observant les associations approximatives suivantes entre les termes de domaine Windows 2000 ou Windows Server 2003 et la manière dont une large entreprise peut appliquer cette structure à son environnement :

  • Limites d'entreprise - forêts

  • Limites de secteur - arborescences

  • Limites de division - domaines

  • Limites de service - unités d'organisation

Mais peut-être votre organisation ne suit-elle pas ce modèle ? Peut-être n'est-elle pas une entreprise ou une société par actions, ou peut-être aucune limite n'est établie entre les différents services ? Si c'est le cas, cela ne pose bien sûr aucun problème : ces associations approximatives ne servent qu'à vous donner une idée de la manière dont les forêts, arborescences, domaines et unités d'organisation peuvent répondre aux exigences et aux requêtes des petites organisations comme des grandes. Peut-être n'avez-vous pas besoin d'unités d'organisation, ou n'avez-vous besoin que d'un domaine (ce que vous déterminerez bien sûr après avoir lu le chapitre 7 "Planning an Active Directory Deployment" !). Quoiqu'il en soit, vous devez garder à l'esprit l'idée suivante lors des processus de planification, de déploiement et de gestion :

plus c'est simple, mieux c'est !

Les domaines, annuaires et réseaux en général sont déjà suffisamment complexes sans devoir leur ajouter le fardeau d'un plan de déploiement démesuré. Est-il possible d'atteindre vos objectifs avec un seul domaine ? Avec seulement quelques unités d'organisation ? Parfait ! N'utilisez alors qu'un domaine et quelques UO. Nous reviendrons à ce besoin de simplicité dans toute la seconde partie de ce livre, car les solutions simples sont les meilleures : faites au plus simple, et vos réseaux seront plus faciles à gérer, à administrer et, pour vos utilisateurs, à utiliser. Et après tout, c'est bien cela l'objectif, non ?

Références

Les informations de cet article sont extraites de l'ouvrage Active Directory Services for Microsoft Windows 2000 Technical Reference (Référence technique des services Active Directory pour Microsoft Windows 2000) publié par Microsoft Press.



En savoir plus sur .

Pour plus d'informations sur cette publication et sur d'autres ouvrages de Microsoft Press, consultez le site .

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×