Professional Documents
Culture Documents
1. Questions
Vous pouvez valider vos connaissances acquises en répondant aux questions ci-d e s s o us .
4 Mon contrôleur de domaine exécute Windows Server 2008 R2, le niveau fonctionnel est lui configuré sur le
niveau Windows Server 2008 R2 (pour le domaine et la forêt). Est-il nécessaire de mettre à jour le s c hé m a
pour la migration vers Windows Server 2012 R2 ?
8 Est-il possible de positionner le rôle Maître d’infrastructure sur le serveur ayant le rôle de serveur
catalogue global ?
9 Quelles sont les opérations qu’il est nécessaire d’effectuer pour promouvoir un serveur C ore en contrôleur de
domaine ?
13 Pourquoi faire une promotion de serveur en utilisant IFM ? Donnez une brève description de cette solution.
14 Quelle est la console qui permet de gérer la corbeille AD et la politique de mot de passe affinée ?
16 C omment créer deux politiques de sécurité (mot de passe et verrouillage) dans un domaine AD ?
2. Résultats
Pour chaque bonne réponse, comptabiliser un point, un minimum de 13 points est nécessaire pour valider le chapitre.
3. Réponses
Plusieurs composants physiques constituent Active Directory, il est possible d’y trouver des contrôleurs de
domaine, la base de données et le dossier SYSVOL ainsi que les serveurs de catalogue global. Ces derniers
s ’appuien t sur des composa n t s logiques tels que les partitions, le schéma AD, la forêt ou le site AD.
Un domaine Active Directory est un regrou p em e nt d’objets (utilisate u rs, ordinateurs ou groupes… ). Tous ces objets
sont stockés dans une base de données lors de leur création. Ils permettent l’authenti fic ati o n (objets utilisateur et
ordinateur) ou simplement de regrouper un ensemble d’objets (groupe). Les groupes sont utilisés pour donner des
autoris a ti o n s sur une ressource.
4 Mon contrôleur de domaine exécute Windows Server 2008 R2, le niveau fonctionnel est lui configuré sur le
niveau Windows Server 2008 R2 (pour le domaine et la forêt). Est-il nécessaire de mettre à jour le s c hé m a
pour la migration vers Windows Server 2012 R2 ?
Non, depuis Windows Server 2012 il n’est plus nécessaire d’effectuer cette opération. L’étape de mise à jour est
automatiquement effectuée (si besoin évidemment) lors de la promotion du nouveau contrôleur de domaine.
Une forêt Active Directory est composée d’un ou plusieurs domaines, ces derniers sont regroupé s d a ns d e s
arborescences de domaines. Ainsi, lorsque l’on parle de forêt, il s’agit tout simplement de l’ensemble de c e s
domaines.
La base de données Active Directory est composée de plusieurs partitions. Nous pouvons trouver la partition de
domaine qui contient l’ensemble des objets créés dans le domaine, la partition de configuration qui contient la
topologie de l’annuaire (liste complète des domaines, arborescences et forêt). On trouve également la partition de
schéma qui contient tous les attributs et classes d’un objet. Enfin, la partition DNS contient l’ensemble des zones
DNS intégrées à Active Directory.
Un serveur ayant le rôle de catalogue global possède une base de données de tous les objets présents dans la forêt
ainsi que certains de leurs attributs. Ce type de serveur facilite la recherche d’objets.
8 Est-il possible de positionner le rôle Maître d’infrastructure sur le serveur ayant le rôle de serveur catalogue
global ?
Non, il est nécessaire de déplacer le rôle Maître d’infrastructure sur un autre serveur. Néanmoins, si le domaine ne
contient qu’un contrôleur de domaine, il est possible (uniquement dans ce cas) d’héberger le maître infrastructure
sur le serveur catalogue global.
9 Quelles sont les opérations qu’il est nécessaire d’effectuer pour promouvoir un serveur C ore en contrôleur de
domaine ?
Il existe deux possibilités : l’installation et la configuration du rôle à distance via la console Gestionnaire de serveur
ou l’utilisation de la commande dcpromo en local sur le serveur. La commande nécessite la saisie des différents
commutateurs. Un fichier de réponse peut néanmoins être utilisé pour automatiser l’opération de promotion.
¡ Maître de schéma : le serveur qui détient ce rôle possède des droits sur la forêt. Il est le seul à posséder ces droits.
¡ Maître de dénomination de domaine : utilisé uniquement lors d’ajout, de modification ou de suppression de nom de
domaine.
¡ Maître RID : il permet l’allocation de blocs d’identificateur relatifs (RID) aux différents contrôleurs de domaine de son
domaine. Cet identifiant unique est associé au SID du domaine afin de créer le SID (identifiant de sécurité) de l’objet.
¡ Maître infrastructure : son rôle est la surveillance d’objets étrangers à son domaine, qui sont présents dans des
groupes de sécurité ou dans des ACL.
¡ Maître émulateur PDC : il assure une compatibilité applicative, en émulant un serveur PDC NT4. Il a ainsi permis la
migration entre Windows 2000 (utilisation de contrôleur de domaine Active Directory) et Windows NT4 (utilisation de
serveur PDC et BDC). Son second rôle est la synchronisation de l’horloge pour l’ensemble du domaine.
11 Quelle est l’utilité d’un site Active Directory ?
Les sites Active Directory permettent la mise en place de frontière de réplication, ceci afin d’économiser la bande
passante de la ligne reliant deux sites distants.
Non, depuis Windows Server 2012 cette commande ne peut être utilisée qu’en ligne de commandes. Pour effectuer
la promotion du contrôleur de domaine, il est nécessaire d’installer le rôle Service AD DS.
13 Pourquoi faire une promotion de serveur en utilisant IFM ? Donnez une brève description de cette solution.
Le média IFM est utilisé afin d’économiser la liaison entre deux sites distants. Le média contient toutes les données
(objets, dossier SYSVOL…) nécessaires à la promotion d’un nouveau serveur, ainsi ce dernier n’a plus qu’à répliquer
le delta des objets créés après la création du média. Ceci permet donc d’éviter de surcharger la ligne lors de la
première réplication effectuée lors de la promotion.
14 Quelle est la console qui permet de gérer la corbeille AD et la politique de mot de passe affinée ?
Contrairement à Windows Server 2008 R2, qui utilisait le PowerShell et la console Modification ADSI pour gérer la
corbeille et la politique de mot de passe affinée, depuis Windows Server 2012 il est possible d’utiliser la console
Centre d’administration Active Directory. L’administration des deux fonctionnalités s’effectue désormais de manière
graphique.
Le tombstoned permet la restauration d’un compte AD mais l’ensemble des attributs est perdu, contrairement à la
corbeille AD qui, elle, restaure l’ensemble des attributs.
16 C omment créer deux politiques de sécurité (mot de passe et verrouillage) dans un domaine AD ?
Il est nécessaire pour cela d’utiliser la stratégie de mot de passe affinée qui permet la création et l’attribution de
plusieurs politiques de sécurité.
- 3-