Guide pas à pas du déploiement d'ADAM

Guide pas à pas du déploiement d'ADAM

Microsoft Corporation

Publié : septembre 2005

Auteur : Jim Groves

Réviseur : Carolyn Eller

Résumé

Le service d'annuaire Active Directory® en mode application (ADAM) dans Microsoft®

Windows Server™ 2003 R2 offre une intégration parfaite de la sécurité et de la prise en

charge des annuaires, une grande évolutivité, et la gestion du protocole LDAP

(Lightweight Directory Access Protocol) pour les applications mettant en œuvre des

annuaires. ADAM présente un certain nombre de fonctionnalités LDAP destinées aux

développeurs d'applications comme aux professionnels de l'informatique et des

technologies de l'information. Grâce à ce guide pas à pas, vous pouvez installer et

utiliser rapidement ADAM sur Windows Server 2003 R2, ce qui vous permet d'explorer

quelques-unes de ses nouvelles fonctionnalités les plus importantes.

Les informations contenues dans ce document, y compris les URL et autres références

de sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention

contraire, les sociétés, les organisations, les produits, les noms de domaine, les

adresses électroniques, les logos, les personnes, les lieux et les événements utilisés

dans les exemples sont fictifs et toute ressemblance avec des sociétés, organisations,

produits, noms de domaine, adresses électroniques, logos, personnes, lieux et

événements réels est purement fortuite et involontaire. L'utilisateur est tenu d'observer la

réglementation relative aux droits d'auteur applicable dans son pays. Aucune partie de

ce document ne peut être reproduite, stockée ou introduite dans un système de

restitution, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique,

mécanique, photocopie, enregistrement ou autre) sans la permission expresse et écrite

de Microsoft Corporation.

Microsoft peut détenir des brevets, avoir déposé des demandes d'enregistrement de

brevets ou être titulaire de marques, droits d'auteur ou autres droits de propriété

intellectuelle portant sur tout ou partie des éléments qui font l'objet du présent document.

Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture

de ce document n'a pas pour effet de vous concéder une licence sur ces brevets,

marques, droits d'auteur ou autres droits de propriété intellectuelle.

© 2005 Microsoft Corporation. Tous droits réservés.

Active Directory, Microsoft, MS-DOS, Visual Basic, Visual Studio, Windows, Windows NT

et Windows Server sont soit des marques de Microsoft Corporation, soit des marques

déposées de Microsoft Corporation, aux États-Unis d'Amérique et/ou dans d'autres pays.

Toutes les autres marques sont la propriété de leurs propriétaires respectifs.

Sommaire

Guide pas à pas du déploiement d'ADAM .......................................................................... 5

Conditions requises pour l'installation d'ADAM................................................................... 6

Installation d'ADAM ............................................................................................................. 7

Utilisation des outils d'administration ADAM ..................................................................... 18

Arrêt et redémarrage d'une instance ADAM .................................................................. 18

Utilisation de l'outil d'administration Éditeur ADSI ADAM ............................................. 19

Configuration de l'outil d'administration Composant logiciel enfichable Schéma ADAM

.................................................................................................................................... 24

Utilisation de ADSchemaAnalyzer ................................................................................. 26

Utilisation de l'outil de synchronisation AD vers ADAM................................................. 28

Installation des données d'application .............................................................................. 30

Étape 1 : Ajout de classes utilisateur facultatives au schéma ADAM. .......................... 30

Étape 2 : Extension du schéma ADAM pour prendre en charge une application ......... 32

Étape 3 : Importation des données d'application dans une instance ADAM ................. 33

Utilisation d'une application avec ADAM .......................................................................... 34

Recherche de données avec le Carnet d'adresses Windows ....................................... 34

Gestion des unités d'organisation, des groupes et des utilisateurs dans ADAM ............. 40

Étape 1 : Créer une unité d'organisation ....................................................................... 41

Étape 2 : Créer un groupe ............................................................................................. 42

Étape 3 : Créer un utilisateur ADAM ............................................................................. 43

Étape 4 : Ajouter un utilisateur à un groupe .................................................................. 45

Désactivation et activation des comptes d'utilisateurs ADAM ....................................... 48

Gestion des partitions d'annuaire dans ADAM ................................................................. 49

Connexion et liaison à une instance ADAM à l'aide de Ldp.exe ................................... 49

Ajout d'une partition d'annuaire d'applications .............................................................. 50

Suppression d'une partition d'annuaire d'applications ................................................... 53

Gestion des autorisations dans ADAM ............................................................................. 55

Affichage des autorisations effectives ........................................................................... 55

Octroi d'autorisations ..................................................................................................... 57

Refus d'autorisations ..................................................................................................... 58

Gestion de l'authentification dans ADAM .......................................................................... 60

Liaison en tant qu'entité de sécurité Windows .............................................................. 60

Définition du mot de passe d'un utilisateur ADAM ........................................................ 61

Liaison en tant qu'entité de sécurité ADAM ................................................................... 63

Liaison par l'intermédiaire d'un objet proxy ADAM ........................................................ 63

Sécurité et liaison des objets proxy ADAM ................................................................ 64

Création d'un objet proxy ADAM puis d'une liaison par le biais de cet objet ............. 65

Démonstration de la fonctionnalité de l'objet proxy ADAM ........................................ 67

Sauvegarde et restauration d'Active Directory en mode application (ADAM) .................. 68

Sauvegarde d'une instance ADAM ................................................................................ 68

Suppression d'une instance ADAM ............................................................................... 69

Restauration d'une instance ADAM ............................................................................... 70

Gestion des jeux de configuration ..................................................................................... 72

Installation d'un réplica à l'aide de l'Assistant Installation de Active Directory en mode

application .................................................................................................................. 72

Installation d'un réplica à partir d'un média par le biais de l'installation sans assistance

.................................................................................................................................... 74

Configuration de la planification de la réplication .......................................................... 76

Déclenchement de la réplication immédiate d'une partition d'annuaire ........................ 78

Administration d'ADAM par programme ........................................................................... 79

Administration de ADAM par programme via des scripts Visual Basic ......................... 79

Administration de ADAM par programme via l'API System.DirectoryServices ............. 81

Administration d'objets proxy ADAM par programme .................................................... 83

Guide pas à pas d'ADAM

5

Guide pas à pas du déploiement d'ADAM

Cette documentation est un guide détaillé sur le déploiement de Active Directory en

mode application (ADAM).

Le service d'annuaire Active Directory® dans Microsoft® Windows® 2000 et Microsoft®

Windows Server™ 2003 est le service d'annuaire qui connaît la plus forte croissance sur

les systèmes intranet et extranet, grâce à son intégration parfaite de la prise en charge et

de la sécurité des annuaires, à son évolutivité et à son exploitation native du protocole

LDAP (Lightweight Directory Access Protocol). Fort de ce succès, Active Directory dans

Windows Server 2003 R2 poursuit sur cette lancée en assurant la mise en œuvre d'un

certain nombre de nouvelles possibilités LDAP destinées aux développeurs

d'applications comme aux professionnels de l'informatique et des technologies de

l'information. ADAM est l'une de ces nouvelles ressources. Les organisations,

entreprises, éditeurs de logiciels et développeurs qui veulent intégrer leurs applications à

un service d'annuaire disposent désormais dans Active Directory d'un moyen

supplémentaire procurant de nombreux avantages.

Grâce à ce document, vous pouvez installer et utiliser ADAM rapidement, ce qui vous

permet d'explorer quelques-unes de ses nouvelles fonctionnalités parmi les plus

importantes.

En particulier, dans le cas présent vous exécutez les tâches suivantes pour cette

présentation :

1. Installation de l'environnement de test en ateliers dans lequel vous installez et

configurez ADAM.

2. Installer ADAM

Vous découvrez ensuite ses fonctions d'ajout et de gestion des données :

1. Installation des données d'application pour permettre l'utilisation d'ADAM avec une

application.

2. Recherche et récupération des données d'application que vous avez importées dans

votre instance ADAM.

3. Entraînement à la création et à la gestion des unités d'organisation, groupes et

utilisateurs dans ADAM.

4. Ajout et suppression manuelle d'une partition d'annuaire d'applications.

5. Octroi et refus d'autorisations aux utilisateurs.

En dernier lieu, vous vous exercez aux tâches administratives :

1. Pratique de la liaison à une instance ADAM selon différentes méthodes.


6

2. Entraînement sur l'exploitation des fonctions de base liées à l'utilisation d'ADAM,

comme le démarrage et l'arrêt d'une instance ADAM.

3. Sauvegarde, suppression et restauration d'une instance ADAM.

4. Installation des réplicas d'ADAM.

5. Réalisation de tâches ADAM au moyen de programmes

Remarques

Avant toute chose, il est recommandé de mettre en œuvre les différentes

procédures détaillées de ce guide dans un environnement de test en ateliers.

Les guides pas à pas ne sont pas forcément conçus pour servir à déployer des

fonctionnalités de Windows Server sans être accompagnés de la documentation

produit. Utilisez ce guide avec circonspection lorsque vous le consultez comme

source de documentation unique.

Conditions requises pour l'installation d'ADAM

Avant de suivre les procédures décrites dans ce guide, assurez-vous de satisfaire aux

exigences de configuration système répertoriées ici :

Disposer d'au moins un ordinateur test sur lequel installer ADAM. Pour pouvoir suivre

les exercices de ce guide, installez ADAM sur un ordinateur qui exécutent un des

systèmes d'exploitation suivants :

Windows Server 2003 R2, Standard Edition

Windows Server 2003 R2, Enterprise Edition

Windows Server 2003 R2, Datacenter Edition

L'ordinateur doit disposer de 50 Mo d'espace libre sur le disque.

Remarques

Vous pouvez également exécuter ADAM sur un ordinateur qui exécute

Windows XP ou une version antérieure de Windows Server 2003. La version

d'ADAM compatible avec ces systèmes d'exploitation est disponible sur la

page Web consacrée à Active Directory en mode application pour Windows

Server 2003 (éventuellement en anglais), publiée sur le site Web de

Microsoft (http://go.microsoft.com/fwlink?linkid=17797).

Se procurer un exemplaire du mode ADAM téléchargé, qui comprend les fichiers des

ateliers à utiliser avec ce guide. Pour cet exercice, servez-vous uniquement des

fichiers des ateliers téléchargés et installez l'application ADAM proprement dite à

http://go.microsoft.com/fwlink?linkid=17797




7

partir du CD-ROM du produit Windows Server 2003 R2. Le téléchargement d'ADAM

est disponible sur le Centre de téléchargement Microsoft

(http://go.microsoft.com/fwlink?linkid=29359). Lancez l'exécution des fichiers

téléchargés pour extraire les fichiers d'atelier requis dans les exercices de ce guide.

Ouvrir une session en utilisant un compte Administrateur.

Pour les besoins de ce guide, vous pouvez installer les réplicas des instances ADAM

sur un ordinateur test, ou les installer sur une deuxième machine éventuellement

disponible pour cette utilisation.

Si une ancienne version de ADAM est déjà installée, vous devez la désinstaller de

votre ordinateur avant d'exécuter la nouvelle version.

Installation d'ADAM

Vous pouvez, au choix, installer une instance ADAM à l'aide de l'Assistant Installation de

Active Directory en mode application ou utiliser le processus d'installation sans

assistance. Dans le premier exercice, vous utilisez l'Assistant Installation de Active

Directory en mode application pour installer ADAM. Dans la section Gestion des jeux de

configuration, vous utilisez l'installation sans assistance pour installer un réplica d'une

instance ADAM.

Remarques

Pour installer ADAM, vous devez ouvrir une session sur votre ordinateur via un

compte appartenant au groupe Administrateurs local.

Dans cet exercice, vous commencez par installer ADAM, puis vous installez une instance

ADAM à l'aide de l'Assistant Installation de Active Directory en mode application.

Pour installer ADAM

1. Pour installer ADAM, ouvrez une session en tant qu'administrateur, cliquez sur

Démarrer, pointez sur Panneau de configuration, puis cliquez sur

Ajout/Suppression de programmes.

2. Cliquez sur Ajouter ou supprimer des composants Windows.

3. Activez la case à cocher en regard de l'option Services Active Directory, puis

cliquez sur Détails.

4. Activez la case à cocher en regard de l'option Active Directory Application Mode

(ADAM), cliquez sur OK, puis sur Suivant.

5. Lisez le message qui s'affiche. En fonction de son contenu, effectuez l'une des

opérations suivantes :



8

Si le message « Vous avez terminé l'Assistant Composants de Windows »

apparaît, cliquez sur Terminer.

Si un message d'erreur s'affiche, prenez note de l'erreur mentionnée, cliquez sur

Terminer, puis consultez les messages d'événements ADAM dans l'Observateur

d'événements.

Pour installer une instance ADAM à l'aide de l'Assistant Installation de Active Directory en mode application

1. Pour démarrer l'Assistant Installation de Active Directory en mode application,

cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis cliquez

sur Créer une instance ADAM. La première page de l'Assistant Installation de

Active Directory en mode application correspond à l'illustration suivante :

2. Dans la page Bienvenue dans l'Assistant Installation de Active Directory en

mode application, cliquez sur Suivant.

3. Dans la page Options d'installation, vous pouvez choisir d'installer une instance

ADAM unique ou de la rattacher à un jeu de configuration existant. Dans la mesure

où vous installez la première instance ADAM, cliquez sur Une instance unique


9

(comme montré dans l'illustration suivante), puis cliquez sur Suivant. Vous serez

amené par la suite à créer des instances ADAM supplémentaires que vous

regrouperez dans un jeu de configuration.

4. Dans la page Nom de l'instance, indiquez le nom de l'instance ADAM que vous

installez. Ce nom est utilisé sur l'ordinateur local pour identifier de façon unique

l'instance ADAM. Pour cet exercice, acceptez le nom par défaut instance1, puis

cliquez sur Suivant.


10

5. Dans la page Ports, spécifiez les ports de communications que l'instance ADAM

utilise pour communiquer. ADAM se sert indifféremment des technologies LDAP et

SSL (Secure Sockets Layer), vous pouvez donc spécifier une valeur pour chaque

port. Pour cet exercice, acceptez les valeurs par défaut 389 et 636, puis cliquez sur

Suivant.


11

Remarques

Si vous installez ADAM sur un ordinateur dont les ports par défaut sont

actifs, l'Assistant Installation de Active Directory en mode application repère

automatiquement le premier port disponible en commençant à 50000. Par

exemple, Active Directory utilise les ports 389 et 636 ainsi que les ports 3268

et 3269 sur les serveurs de catalogue global. Par conséquent, si vous

installez ADAM sur un contrôleur de domaine, l'Assistant Installation de

Active Directory en mode application proposera la valeur par défaut 50000

pour le port LDAP, et 50001 pour le port SSL.

6. Dans la page Partition de l'annuaire d'applications, vous pouvez créer une

partition d'annuaire d'applications (ou contexte d'attribution de noms) en cliquant sur

Oui, créer une partition d'annuaire d'applications. Sinon, cliquez sur Non, ne pas

créer de partition d'annuaire d'applications, auquel cas vous devrez créer une

partition d'annuaire d'applications manuellement après l'installation. Pour les besoins

de cet exercice, cliquez sur Oui, créer une partition d'annuaire d'applications.

Lors de la création de la partition, vous devrez lui attribuer un nom unique. Pour cet

exercice, tapez o=Microsoft,c=FR comme nom unique (tel qu'indiqué ci-dessous),

puis cliquez sur Suivant.


12

Remarques

ADAM prend en charge les noms uniques respectant les styles X.500 et

DNS (Domain Name System) pour les partitions d'annuaire de premier

niveau.

7. Dans la page Répertoires, vous pouvez afficher et changer les répertoires

d'installation pour les données et les fichiers de récupération (.log). Par défaut, les

données ADAM et les fichiers de récupération sont installés dans

%ProgramFiles%\Microsoft ADAM\nominstance\data, sachant que nominstance

représente le nom de l'instance ADAM que vous indiquez dans la page Nom de

l'instance. Pour cet exercice, cliquez sur Suivant pour accepter les emplacements

de fichiers par défaut.


13

Important

Lorsque vous installez ADAM sur un ordinateur Windows XP, vous devez

installer ces fichiers sur le même volume logique. Dans un environnement de

production, sur Windows Server 2003 et Windows Server 2003 R2, il est

recommandé d'installer ces fichiers sur des disques physiques distincts.

Remarques

Le programme d'installation ADAM installe les fichiers programmes et les

outils d'administration dans %windir%\ADAM.

8. Dans la page Sélection des comptes de service, vous choisissez le compte à

utiliser comme compte de service pour ADAM. Le compte que vous sélectionnez

détermine le contexte de sécurité dans lequel l'instance ADAM s'exécute. À moins

que vous n'installiez ADAM sur un contrôleur de domaine, l'Assistant Installation de

Active Directory en mode application utilise par défaut le compte Service réseau.

Pour cet exercice, cliquez sur Suivant pour accepter le Compte de service réseau

par défaut. Si vous installez ADAM sur un contrôleur de domaine, cliquez sur Ce

compte, puis sélectionnez un compte d'utilisateur de domaine comme compte de

service ADAM.


14

Remarques

Une fois ADAM installé, il est toujours possible de modifier le compte de

service ADAM à l'aide de l'outil de ligne de commande Dsmgmt. Lorsque

vous installez ADAM sur un contrôleur de domaine, vous devez sélectionner

un compte d'utilisateur de domaine comme compte de service ADAM.

9. Dans la page Administrateurs ADAM, vous sélectionnez l'utilisateur ou le groupe

que vous destinez au rôle d'administrateur par défaut pour l'instance ADAM.

L'utilisateur ou le groupe sélectionné disposera du contrôle administratif absolu sur

l'instance ADAM. Par défaut, l'Assistant Installation de Active Directory en mode

application spécifie l'utilisateur actuellement connecté. Vous pouvez modifier cette

sélection pour n'importe quel groupe ou compte, local ou de domaine, qui se trouve

sur votre réseau. Pour cet exercice, acceptez la valeur par défaut de l'option

Utilisateur actuellement connecté, puis cliquez sur Suivant.


15

10. Dans la page Importation des fichiers LDIF, vous pouvez importer deux fichiers .ldf

contenant les définitions des objets de la classe user dans le schéma ADAM. Cette

importation est facultative. Toutefois ces définitions d'objets étant indispensables

dans une autre section de ce guide, nous vous encourageons à les importer dès

maintenant :

a. Cliquez sur l'option Importer les fichiers LDIF sélectionnés pour cette

instance ADAM.

b. Cliquez sur MS-InetOrgPerson.LDF, puis sur le bouton Ajouter.

c. Cliquez sur MS-User.LDF, puis sur le bouton Ajouter.

d. Cliquez sur MS-UserProxy.LDF, sur le bouton Ajouter, puis sur Suivant.


16

11. La page Prêt pour l'installation permet de vérifier les choix que vous avez faits

pour cette installation. Après avoir cliqué sur Suivant, l'Assistant Installation de

Active Directory en mode application lance la copie des fichiers et installe ADAM sur

votre ordinateur.


17

12. Lorsque l'Assistant a terminé l'installation de ADAM, le message suivant s'affiche :

« Vous avez terminé correctement l'Assistant Installation de Active Directory en

mode application ». À l'affichage de la page Fin de l'Assistant Installation de

Active Directory, cliquez sur Terminer pour fermer l'Assistant.

Remarques

Si l'exécution de l'Assistant Installation de Active Directory en mode application

ne s'est pas déroulée correctement, un message d'erreur expliquant la raison de

l'échec de l'installation s'affiche dans la page Résumé.

Si une erreur survient au cours de l'exécution de l'Assistant, mais avant que la page

Résumé ne s'affiche, vous pouvez connaître la nature du problème dans le message

d'erreur qui apparaît. Par ailleurs, vous pouvez cliquer sur Démarrer, puis sur Exécuter

et tapez au choix l'une des lignes suivantes :

%windir%\Debug\adamsetup.log

%windir%\Debug\adamsetup_loader.log

Les fichiers Adamsetup.log et Adamsetup_loader.log contiennent des informations

susceptibles de vous aider à trouver la cause de l'échec d'une installation ADAM pour y

remédier.


18

Utilisation des outils d'administration ADAM

Plutôt que de s'utiliser comme un service système, une instance ADAM s'exécute comme

un service utilisateur normal ; elle peut être démarrée et arrêtée par le biais du

composant logiciel enfichable Services dans Microsoft Management Console (console

MMC). En outre, ADAM contient plusieurs outils d'administration permettant d'assurer

des tâches d'administration générale. Dans les exercices ci-dessous, vous allez effectuer

les opérations suivantes :

Utiliser le composant logiciel enfichable Services pour arrêter et redémarrer votre

instance ADAM.

Utiliser l'éditeur ADSI ADAM (ADAM-adsiedit.msc) pour parcourir l'arborescence de

l'annuaire.

Configurer le composant logiciel enfichable Schéma ADAM.

Utiliser ADSchemaAnalyzer pour produire un fichier destiné à étendre un schéma à

l'aide d'éléments provenant d'un autre schéma.

Utiliser l'outil de synchronisation AD vers ADAM pour copier des données depuis

Active Directory (AD) vers une instance ADAM.

Arrêt et redémarrage d'une instance ADAM

Pour arrêter et redémarrer une instance ADAM au moyen du composant logiciel enfichable Services

1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur

Services.

2. L'instance ADAM que vous venez d'installer est affichée dans le volet d'informations

du composant logiciel enfichable Services, avec les autres services présents sur

l'ordinateur. Les instances ADAM sont répertoriées selon leurs noms dans Services,

ici la nouvelle instance se nomme instance1. Cliquez sur l'instance ADAM que vous

avez installée, comme indiqué dans l'illustration suivante :


19

3. Pour arrêter une instance ADAM, dans le menu Action, cliquez sur Arrêter.

4. Lorsque l'instance ADAM est arrêtée, dans le menu Action, cliquez sur Démarrer

pour relancer l'instance ADAM.

Utilisation de l'outil d'administration Éditeur ADSI ADAM Le principal outil d'administration de ADAM est l'Éditeur ADSI ADAM. Dans cet exercice,

vous utilisez cet Éditeur pour établir une liaison à votre instance ADAM, l'afficher et

parcourir son arborescence.

Pour établir une liaison à une instance ADAM, afficher cette instance et parcourir son arborescence par le biais de l'Éditeur ADSI ADAM

1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis cliquez

sur Éditeur ADSI ADAM.

2. Dans l'arborescence de la console, cliquez sur ADAM ADSI Edit. Le composant

logiciel enfichable Éditeur ADSI ADAM ressemble à ceci :


20

3. Dans le menu Action, cliquez sur Établir une connexion. La boîte de dialogue

Paramètres de connexion s'affiche.

4. Dans la zone Nom de la connexion, vous pouvez indiquer le libellé qui sera utilisé

pour cette connexion dans l'arborescence de la console de l'Éditeur ADSI ADAM.

Pour cette connexion, tapez :

Démo ADAM

5. Dans la zone Nom du serveur, tapez le nom d'hôte ou le nom DNS de l'ordinateur

sur lequel l'instance ADAM s'exécute.

Remarques

Pour les besoins de cet exercice, ADAM s'exécute sur l'ordinateur local, vous

pouvez donc utiliser localhost comme nom de serveur.

6. Dans la zone Port, précisez les ports de communications, LDAP ou SSL, utilisés par

ADAM. Vous pouvez, comme ici, accepter la valeur par défaut 389.

Remarques

Pour consulter la liste des numéros de ports utilisés par les instances ADAM,

cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis

cliquez sur Invite de commande des outils ADAM. Dans l'invite de

commandes qui s'ouvre, tapez : dsdbutil "list instances" quit

7. Dans le groupe d'options Établir une connexion au nœud suivant, vous pouvez

choisir une connexion à un contexte d'attribution de noms connus, comme la partition

d'annuaire de configuration ou de schéma, ou encore spécifier le nom unique de la

partition à laquelle vous voulez vous connecter. Pour cet exercice, cliquez sur Nom

unique (DN) ou contexte de nom, puis tapez :

o=Microsoft,c=FR

Il s'agit du nom unique de la partition d'applications que vous avez créée au cours de


21

l'installation.

8. Dans le groupe d'options Établir une connexion en utilisant ces informations

d'identification, cliquez sur Le compte de l'utilisateur ayant ouvert la session. La

boîte de dialogue Paramètres de connexion correspond à l'illustration suivante :

9. Cliquez sur OK. Le composant logiciel enfichable Éditeur ADSI ADAM ressemble à

ceci :


22

10. Dans l'arborescence de la console, double-cliquez sur Démo ADAM, puis sur

O=Microsoft,c=FR. Le composant logiciel enfichable Éditeur ADSI ADAM affiche à

présent la partition d'annuaire d'applications :

11. Dans l'arborescence de la console, cliquez sur un conteneur pour afficher les objets

qu'il renferme. Cliquez par exemple sur CN=Roles.

12. Pour ouvrir une autre partition d'annuaire sur l'instance ADAM, dans l'arborescence

de la console, cliquez sur Éditeur ADSI ADAM puis, dans le menu Action, sur

Établir une connexion.

13. Complétez la boîte de dialogue Paramètres de connexion comme indiqué dans


23

l'illustration, puis cliquez sur OK.

La boîte de dialogue Paramètres de connexion correspond à l'illustration suivante :

Vous pouvez à présent consulter le contenu de la partition d'annuaire de


24

configuration de votre instance ADAM.

14. Pour fermer l'Éditeur ADSI ADAM, dans le menu Fichier, cliquez sur Quitter.

Configuration de l'outil d'administration Composant logiciel enfichable Schéma ADAM Vous pouvez utiliser un autre outil d'administration ADAM, le composant logiciel

enfichable Schéma ADAM, pour administrer le schéma ADAM. Si vous avez déjà utilisé

le composant logiciel enfichable Schéma Active Directory, ce nouveau composant devrait

vous paraître familier. Avant de pouvoir utiliser le composant logiciel enfichable Schéma

ADAM, vous devez tout d'abord créer un fichier MMC, tel que décrit dans cette

procédure.

Pour créer un fichier MMC pour le composant logiciel enfichable Schéma ADAM

1. Cliquez sur Démarrer, cliquez sur Exécuter, tapez mmc /a, puis cliquez sur OK.

2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel

enfichable, puis sur Ajouter.

3. Dans Composants logiciels enfichables disponibles, cliquez successivement sur

Schéma ADAM, Ajouter, Fermer, puis sur OK.

4. Pour enregistrer cette console, dans le menu Fichier, cliquez sur Enregistrer.

5. Dans la zone Nom de fichier, tapez la ligne suivante, puis cliquez sur Enregistrer.

%windir%\system32\adamschmmgmt.msc

Le composant logiciel enfichable Schéma ADAM ressemble à ceci :


25

6. Pour établir une connexion à votre instance ADAM via le schéma ADAM, dans

l'arborescence de la console, cliquez avec le bouton droit sur Schéma ADAM,

cliquez sur Changer de serveur ADAM, puis complétez la boîte de dialogue comme

suit :


26

7. Cliquez sur OK. À présent, le composant logiciel enfichable Schéma ADAM

ressemble à l'illustration suivante. Vous pouvez parcourir et afficher les attributs et

les classes du schéma ADAM :

8. Pour créer un raccourci vers le composant logiciel enfichable Schéma ADAM dans le

menu Démarrer :

a. Cliquez avec le bouton droit sur Démarrer, cliquez sur Ouvrir Tous les

utilisateurs, double-cliquez sur le dossier Programmes, puis sur le dossier

ADAM.

b. Dans le menu Fichier, pointez sur Nouveau, puis cliquez sur Raccourci.

c. Dans l'Assistant Créer un raccourci, repérez la zone Entrez l'emplacement

de l'élément, tapez adamschmmgmt.msc, puis cliquez sur Suivant.

d. Dans la page Sélection d'un titre pour le programme, dans la zone Entrez un

nom pour ce raccourci, tapez Schéma ADAM, puis cliquez sur Terminer.

Utilisation de ADSchemaAnalyzer Vous pouvez utiliser ADSchemaAnalyzer pour faciliter la migration du schéma

Active Directory vers ADAM, depuis une instance ADAM vers une autre instance ou


27

depuis un annuaire compatible LDAP vers une instance ADAM. Vous pouvez utiliser

ADSchemaAnalyzer pour charger un schéma cible (source), marquer les éléments que

vous voulez faire migrer, puis les exporter vers le schéma ADAM de base. Vous pouvez

également comparer les deux schémas.

Important

Lors de l'utilisation de l'outil ADSchemaAnalyzer pour créer un fichier LDIF, il est

conseillé de charger le schéma de base et le schéma cible, sinon le fichier LDIF

obtenu risque d'être inutilisable avec l'outil ldifde.

Pour créer un fichier LDIF à l'aide de ADSchemaAnalyzer


sur Invite de commande des outils ADAM et à l'invite de commandes, tapez :

adschemaanalyzer

2. Pour charger un schéma cible, cliquez sur Fichier, puis sur Charger le schéma

cible et effectuez l'une des actions suivantes :

Pour charger le schéma Active Directory de domaine comme schéma cible, dans

la boîte de dialogue, tapez vos nom d'utilisateur, mot de passe et nom de

domaine, puis cliquez sur OK.

Pour charger un autre schéma (par exemple le schéma d'une forêt Active

Directory ou un autre annuaire compatible LDAP), dans la boîte de dialogue

ouverte, tapez le nom du serveur et le numéro de port de l'annuaire contenant le

schéma cible, ainsi que, le cas échéant, vos nom d'utilisateur, mot de passe et

nom de domaine, puis cliquez sur OK.

3. Pour charger le schéma de votre instance ADAM comme schéma de base, cliquez

sur Fichier, sur Charger le schéma de base et dans la zone Serveur[:port], tapez

le nom du serveur et le numéro de port de l'instance ADAM.

4. Dans la boîte de dialogue, cliquez sur OK.

5. Dans l'arborescence ainsi obtenue, marquez tous les éléments que vous voulez

exporter vers le schéma de base en cliquant avec le bouton droit sur chaque élément

et en sélectionnant l'une des options suivantes :

Automatique marque automatiquement un élément comme inclus ou exclus de

l'opération d'exportation. Si un élément est signalé comme étant Automatique

(inclus), vous pouvez cliquer avec le bouton droit sur cet élément, puis cliquez

sur Pourquoi l'inclusion automatique ? pour voir l'arborescence des

dépendances inverses de cet élément.

Inclus marque l'élément pour qu'il soit pris en compte lors de l'exportation.

ADSchemaAnalyzer marque tous les éléments connexes, comme les


28

superclasses, auxClasses, must/may contains (doit/peut contenir),

defaultObjectCategory et possSuperiors. L'outil ADSchemaAnalyzer englobe des

ensembles de propriétés (propsets) pour les attributs inclus et des liens inverses

pour les liens.

Exclus marque l'élément pour qu'il ne soit pas pris en compte lors de

l'exportation. Vous pouvez bloquer certains chemins d'accès dans le graphique

des dépendances. Par exemple, si vous voulez importer domainDns, mais pas

samAccountDomain (qui est une classe auxiliaire (auxClass) de domainDns).

Vous pouvez exclure un élément dans son intégralité, comme la classe

samAccountDomain, ou exclure une relation. Vous pouvez ainsi supprimer la

référence auxClass de la classe domainDns. Si vous excluez une relation, toutes

les autres classes qui font référence à cet élément continuent de l'inclure.

Présent signifie que l'élément est stocké sur le serveur cible. Par défaut, la

classe de niveau supérieur est indiquée comme présente.

6. Pour créer le fichier LDIF, cliquez sur Fichier, puis sur Créer un fichier LDIF.

Vous pouvez, à l'invite de commandes des outils ADAM, utiliser la commande ldifde pour

importer dans le schéma ADAM de base les éléments du schéma cible contenus dans le

fichier LDIF. Le début du fichier LDIF regroupe les instructions complètes permettant

d'exécuter cette tâche.

Utilisation de l'outil de synchronisation AD vers ADAM L'outil de synchronisation AD (Active Directory) vers ADAM est un outil de ligne de

commande qui synchronise les données depuis une forêt Active Directory vers un jeu de

configuration d'une instance ADAM.

Important

L'outil de synchronisation AD vers ADAM ne synchronise pas les mots de passe

utilisateur entre Active Directory et ADAM.

Deux conditions préalables doivent être remplies avant de pouvoir synchroniser des

données au moyen de l'outil de synchronisation AD vers ADAM :

Le schéma dans l'instance ADAM doit être étendu pour correspondre aux objets du

schéma dans la forêt Active Directory de Windows Server 2003.

Le schéma dans l'instance ADAM doit être étendu pour les objets du schéma

nécessaires à l'outil de synchronisation AD vers ADAM.


29

Remarques

Vous devez utiliser l'option numéro_port-t avec ldifde si l'instance ADAM utilise

un autre port que le port 389 désigné par défaut.

Pour lancer la première utilisation de l'outil de synchronisation AD vers ADAM

1. Cliquez sur Démarrer, pointez sur Tous les programmes, cliquez sur ADAM, puis

sur Invite de commande des outils ADAM pour ouvrir une fenêtre de commande

dans l'annuaire ADAM.

2. Pour étendre le schéma ADAM afin qu'il corresponde aux objets de schéma par

défaut de Windows Server 2003 dans Active Directory, à l'invite de commandes,

tapez l'instruction suivante sur une seule ligne et appuyez sur la touche Entrée.

ldifde -i -s localhost -c CN=Configuration,DC=X #ConfigurationNamingContext

-f MS-AdamSchemaW2k3.ldf

3. Pour étendre le schéma ADAM afin qu'il inclue les objets de schéma indispensables

à l'outil de synchronisation AD vers ADAM, à l'invite de commandes, tapez

l'instruction suivante sur une seule ligne et appuyez sur la touche Entrée.

ldifde -i -s localhost:389 -c CN=Configuration,DC=X

#ConfigurationNamingContext -f MS-AdamSyncMetadata.ldf

4. Modifiez le fichier de configuration MS-AdamSyncConf.xml à l'aide des paramètres

appropriés.

Important

Ne supprimez aucun champ inutilisé de ce fichier.

5. Installez le fichier de configuration. À l'invite de commandes, tapez la commande

suivante, puis appuyez sur Entrée :

ADAMSync /install localhost:389 %windir%\ADAM\MS-AdamSyncConf.xml

6. Synchronisez les données depuis la forêt Active Directory vers le jeu de

configuration ADAM. À l'invite de commandes, tapez la commande suivante, puis

appuyez sur Entrée :

ADAMSync /sync localhost:389 "o=microsoft,c=FR"

Utilisez l'Éditeur ADSI ADAM pour vérifier la bonne synchronisation des données.


30

Installation des données d'application

Dans la plupart des cas, vous étendez le schéma ADAM avec des définitions de classes

d'objets et d'attributs pour les types de données que vous voulez qu'une application

stocke. Comme dans Active Directory, le schéma est également extensible dans ADAM.

Vous pouvez l'étendre par programme ou à l'aide de l'outil de ligne de commande

Ldifde.exe.

Dans les exercices ci-dessous, vous allez effectuer les opérations suivantes :

Étape 1 : Ajouter des classes utilisateur facultatives au schéma ADAM.

Étape 2 : Étendre le schéma ADAM pour prendre en charge une application.

Étape 3 : Importer des données d'application dans une instance ADAM.

Remarques

Les données que vous importez au cours de ces exercices seront utilisées

ultérieurement avec l'application Carnet d'adresses de Windows.

Étape 1 : Ajout de classes utilisateur facultatives au schéma ADAM. Vous pouvez ajouter les classes utilisateur optionnelles qui sont proposées avec ADAM

lors de son installation ou les ajouter manuellement par le biais de l'outil de ligne de

commande Ldifde.exe. Si vous avez importé les fichiers .ldf de définition des classes

utilisateur lors de l'exécution de l'Assistant Installation de Active Directory en mode

application, vous pouvez ignorer cette procédure.

Pour ajouter manuellement des classes utilisateur facultatives au schéma ADAM


sur Invite de commande des outils ADAM.

2. À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

ldifde -i -f ms-inetorgperson.ldf -s nomserveur:numéroport -k -j . -c

"CN=Schema,CN=Configuration,DC=X" #schemaNamingContext

sachant que nomserveur:numéroport représente le nom de l'ordinateur et le port de

communication LDAP de votre instance ADAM. Dans la mesure où l'instance ADAM

s'exécute sur l'ordinateur local, vous pouvez également utiliser localhost comme nom

d'ordinateur.

Remarques


31

Prenez soin d'utiliser l'exemplaire Ldifde.exe fourni avec

Windows Server 2003 R2 plutôt que d'exécuter celui fourni avec une

précédente version de ADAM ou avec les outils de support de Windows.

À présent, le contenu de la fenêtre Invite de commande des outils ADAM doit

ressembler à ceci :

3. Tapez la commande suivante et appuyez sur Entrée :

ldifde -i -f ms-user.ldf -s nomserveur:numéroport -k -j . -c

"CN=Schema,CN=Configuration,DC=X" #schemaNamingContext

À présent, le contenu de la fenêtre Invite de commande des outils ADAM

ressemble à ceci :


32

Après l'exécution de ces commandes, le schéma ADAM contient les classes d'objets

utilisateur ADAM et inetOrgPerson. Pour le vérifier, affichez le schéma ADAM à l'aide

du composant logiciel enfichable Schéma ADAM.

Étape 2 : Extension du schéma ADAM pour prendre en charge une application Dans cet exercice, vous étendez de nouveau le schéma ADAM par l'ajout d'une classe

d'objet contacts et utilisez le même outil de ligne de commande, ldifde.

Pour étendre le schéma ADAM




ldifde -i -f lecteur:\chemin\labs_demo\labs\contact.ldf -snomserveur:numéroport-k

-j . -c "CN=Schema,CN=Configuration" #schemaNamingContext

sachant que lecteur:\chemin représente l'emplacement où vous avez placé le mode

ADAM téléchargé, et nomserveur:numéroport le nom de l'ordinateur et le port de

communication LDAP de votre instance ADAM. Dans la mesure où l'instance ADAM

s'exécute sur l'ordinateur local, vous pouvez également utiliser localhost comme nom

d'ordinateur.

Remarques

Prenez soin d'utiliser l'exemplaire Ldifde.exe fourni avec ADAM, plutôt que

d'exécuter celui fourni avec une précédente version de ADAM ou avec les

outils de support de Windows.

Suite à l'exécution de cette commande, le contenu de la fenêtre Invite de

commande des outils ADAM doit ressembler à ceci :


33

À présent, votre schéma ADAM contient également la classe d'objet contacts ; il est prêt

pour certaines données d'application.

Étape 3 : Importation des données d'application dans une instance ADAM Dans cet exercice, vous importez quelques exemples de données dans votre instance

ADAM à l'aide de l'outil de ligne de commande ldifde. Ces données accompagnent le

mode ADAM téléchargé.

Pour importer des données d'application



2. À l'invite de commandes, tapez :

ldifde -i -f lecteur:\chemin\labs_demo\labs\contactimport.ldf -s

nomserveur:numéroport-k -j .

sachant que lecteur:\chemin représente l'emplacement où sont placés les fichiers

ADAM, et nomserveur:numéroport le nom de l'ordinateur et le port de communication

LDAP de votre instance ADAM.

Remarques

Prenez soin d'utiliser l'exemplaire Ldifde.exe fourni avec ADAM, plutôt que

d'exécuter celui fourni avec une précédente version de ADAM ou avec les

outils de support de Windows.

Suite à l'exécution de cette commande, le contenu de la fenêtre Invite de

commande des outils ADAM doit ressembler à ceci :

Remarques


34

Ldifde renseigne toujours sur le nombre d'entrées importées dans l'annuaire.

Dans ce cas, vous pouvez constater à partir des résultats ldifde que

contactimport.ldf contient deux enregistrements. Pour obtenir plus

d'informations sur ldifde, tapez ldifde /? à l'invite de commandes.

Utilisation d'une application avec ADAM

Dans cet exercice, vous utilisez le Carnet d'adresses Windows, une application

compatible avec le protocole LDAP, pour exécuter des requêtes et récupérer les

données d'application que vous avez importées dans votre instance ADAM.

Recherche de données avec le Carnet d'adresses Windows

Pour rechercher des données avec le Carnet d'adresses Windows

1. Cliquez sur Démarrer, sur Exécuter, puis tapez wab.exe, puis cliquez sur OK.

2. Dans le menu Outils, cliquez sur Comptes, puis sur Ajouter. L'Assistant Connexion

Internet s'affiche.

3. Dans le champ Serveur d'annuaire Internet (LDAP), tapez localhost, cliquez sur

Suivant deux fois, puis sur Terminer.

4. Dans la boîte de dialogue Comptes Internet, affichez l'onglet Service d'annuaire,

double-cliquez sur localhost, comme illustré ici :


35

5. Dans la boîte de dialogue Propriétés de localhost, renseignez les différentes

options de l'onglet Général, comme indiqué dans l'illustration suivante, en vous

servant du compte via lequel vous avez actuellement ouvert une session sur

l'ordinateur. Vérifiez que les cases à cocher des options Ouverture de session

requise et Ouvrir une session en utilisant l'authentification par mot de passe

sécurisé sont bien activées.


36

6. Affichez l'onglet Avancé, puis activez la case à cocher Utiliser un filtre de

recherche simple. Dans le champ Rechercher dans la base, tapez

o=Microsoft,c=FRcomme indiqué dans l'illustration suivante et cliquez sur OK puis,

dans la boîte de dialogue Comptes Internet, cliquez sur Fermer.


37

7. Dans le Carnet d'adresses Windows, repérez la barre d'outils et cliquez sur

Rechercher des personnes. Dans la zone Regarder dans, cliquez sur localhost,

puis dans le champ Nom, tapez :

kim

La boîte de dialogue Propriétés de localhost correspond à l'illustration suivante :


38

8. Cliquez sur Rechercher maintenant. Les résultats de votre recherche doivent

afficher une entrée provenant de l'annuaire ADAM, comme dans l'illustration

suivante :


39

9. Double-cliquez sur le nom pour consulter les détails de ce résultat.

10. Affichez l'onglet Organisation pour connaître la relation de dépendance. Double-

cliquez sur le nom du responsable pour voir les détails du contact associé, ce qui doit

correspondre à ceci :


40

Gestion des unités d'organisation, des groupes et des utilisateurs dans ADAM

ADAM est généralement utilisé pour stocker des informations sur les utilisateurs ainsi

que sur les organisations et les autres groupes auxquels ils appartiennent. Au cours de

ces exercices, vous créez tout d'abord une unité d'organisation, ou OU (Organizational

Unit), que vous appelez « Utilisateurs ADAM » dans la partition d'annuaire d'applications

o=Microsoft,c=FR. Vous ajoutez ensuite un groupe appelé « Testeurs ADAM » dans

ADAM, puis vous créez un utilisateur ADAM nommé Mary Baker à l'aide de l'une des

classes d'objets utilisateur importée précédemment. Grâce à l'Éditeur ADSI ADAM, vous

pouvez :

Étape 1 : Créer une unité d'organisation

Étape 2 : Créer un groupe dans la nouvelle unité d'organisation


41

Étape 3 : Créer un utilisateur ADAM

Étape 4 : Ajouter un utilisateur ADAM au groupe des utilisateurs ADAM

Vous apprendrez également à activer et désactiver les comptes d'utilisateurs ADAM.

Étape 1 : Créer une unité d'organisation Dans cet exercice, vous créez une unité d'organisation.

Pour créer une unité d'organisation

1. S'il n'est pas déjà ouvert, lancez l'Éditeur ADSI ADAM, puis connectez-vous à la

partition d'annuaire d'applications o=Microsoft,c=FR, comme décrit dans la procédure

« Pour établir une liaison à une instance ADAM, afficher cette instance et parcourir

son arborescence par le biais de l'Éditeur ADSI ADAM » de la section Utilisation des

outils d'administration ADAM.

2. Dans l'arborescence de la console, cliquez avec le bouton droit sur

O=Microsoft,c=FR, pointez sur Nouveau, puis sur Objet. La boîte de dialogue

Créer un objet correspond à l'illustration suivante :

3. Dans la liste Sélectionnez une classe, cliquez sur organizationalUnit, puis cliquez


42

sur Suivant.

4. Dans le champ Valeur, tapez Utilisateurs ADAM, puis cliquez sur Suivant.

5. Dans la page qui s'affiche, vous pouvez cliquer sur Plus d'attributs pour modifier

d'autres attributs de l'objet que vous créez. Pour cet exercice, cliquez seulement sur

Terminer.

6. Dans l'arborescence de la console, double-cliquez sur O=Microsoft,c=FR. Le

composant logiciel enfichable Éditeur ADSI ADAM ressemble à ceci :

Étape 2 : Créer un groupe Dans cet exercice, vous créez un groupe dans l'unité d'organisation.

Pour créer un groupe dans une unité d'organisation

1. Dans l'arborescence de la console, cliquez avec le bouton droit sur OU=Utilisateurs

ADAM, pointez sur Nouveau, puis cliquez sur Objet.

2. Dans la zone Sélectionnez une classe, cliquez sur group, puis sur Suivant.

3. Dans le champ Valeur, tapez Testeurs ADAM, puis cliquez sur Suivant.

4. Dans le champ Valeur, tapez 2147483650 (l'équivalent de la valeur hexadécimale

0x80000002 représentant un groupe de compte), cliquez sur Suivant, puis sur

Terminer.

Remarques

Pour plus d'informations sur l'attribut groupType, voir « Group-Type »

(éventuellement en anglais) sur le site Web de Microsoft



43

(http://go.microsoft.com/fwlink?linkid=51093).

Le composant logiciel enfichable Éditeur ADSI ADAM ressemble à ceci :

Étape 3 : Créer un utilisateur ADAM Dans cet exercice, vous créez un utilisateur ADAM dans l'unité d'organisation Utilisateurs

ADAM, puis vous ajoutez cet utilisateur au groupe Testeurs ADAM.

Remarques

Le nouveau compte d'utilisateur est désactivé par défaut puisqu'il n'est doté

d'aucun mot de passe associé.

Pour créer un utilisateur ADAM

1. S'il n'est pas déjà ouvert, lancez l'Éditeur ADSI ADAM.

2. Connectez-vous et établissez une liaison à votre instance ADAM, comme décrit dans

la procédure « Pour établir une liaison à une instance ADAM, afficher cette instance

et parcourir son arborescence par le biais de l'Éditeur ADSI ADAM » de la section

Utilisation des outils d'administration ADAM. Ensuite, dans l'arborescence de la

console, double-cliquez sur l'instance ADAM.

3. Double-cliquez sur la partition d'annuaire d'applications O=Microsoft,c=FR.

4. Cliquez avec le bouton droit sur le conteneur OU=Utilisateurs ADAM créé

précédemment, pointez sur Nouveau, puis cliquez sur Objet.

5. Dans la zone Sélectionnez une classe, cliquez sur user, puis sur Suivant.

Remarques


44

Si vous n'avez pas fermé l'Éditeur ADSI ADAM avant d'importer les

définitions des objets de la classe utilisateur Adamuser.ldf, le message

d'avertissement suivant peut s'afficher au cours de l'opération : « Un chemin

d'accès au répertoire non valide a été transmis. »

6. Dans la zone Valeur, tapez Mary Baker, comme nom (cn) du nouvel utilisateur, tel

qu'illustré ci-dessous, puis cliquez sur Suivant.

7. Cliquez sur Terminer. Le composant logiciel enfichable Éditeur ADSI ADAM

ressemble à ceci :


45

Étape 4 : Ajouter un utilisateur à un groupe Vous pouvez aussi bien ajouter des utilisateurs ADAM que des utilisateurs Windows aux

groupes ADAM si vous suivez la procédure décrite dans cet exercice. Vous ajoutez tout

d'abord Mary Baker, l'utilisateur que vous venez de créer, au groupe des testeurs ADAM.

Pour ajouter un utilisateur à un groupe

1. Dans le volet d'informations de l'Éditeur ADSI ADAM, cliquez avec le bouton droit sur

CN=Testeurs ADAM, puis cliquez sur Propriétés. La boîte de dialogue Propriétés

de CN=Testeurs ADAM ressemble à l'illustration suivante :


46

2. Dans la zone Attributs, cliquez sur Member, puis sur Modifier.

3. Cliquez sur Ajouter le compte ADAM, tapez les informations suivantes en guise de

nom unique, puis cliquez sur OK :

CN=Mary Baker,OU=Utilisateurs ADAM,O=Microsoft,C=FR

La boîte de dialogue Éditeur de nom unique à valeurs multiples avec éditeur de

principal de sécurité ressemble à l'illustration suivante :


47

4. Vous pouvez également ajouter des utilisateurs Windows à un groupe ADAM. Dans

la boîte de dialogue Éditeur de nom unique à valeurs multiples avec éditeur de

principal de sécurité, cliquez sur Ajouter un compte Windows. La boîte de

dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes correspond

à l'illustration suivante :

5. Dans la boîte de dialogue Sélectionnez les utilisateurs, les ordinateurs ou les

groupes, ajoutez un utilisateur Windows depuis votre ordinateur ou votre domaine


48

au groupe des testeurs ADAM. Dans la zone Entrez les noms des objets à

sélectionner (exemples), tapez un nom de compte en respectant le format

ordinateur\compte ou domaine\compte.

6. Cliquez sur OK. Le nouveau nom d'utilisateur s'affiche dans la boîte de dialogue

Éditeur de nom unique à valeurs multiples avec éditeur de principal de sécurité

en tant que membre du groupe.

7. Cliquez deux fois sur OK pour revenir à l'Éditeur ADSI ADAM.

Désactivation et activation des comptes d'utilisateurs ADAM Vous pouvez désactiver et activer des comptes d'utilisateurs ADAM par le biais du

composant logiciel enfichable Éditeur ADSI ADAM. Au cours de cet exercice, vous

commencez par désactiver le compte Mary Baker, pour ensuite l'activer de nouveau.

Pour désactiver ou activer un compte d'utilisateur ADAM

1. Dans l'Éditeur ADSI ADAM, connectez-vous et établissez une liaison à une instance

ADAM, comme décrit dans la procédure « Pour établir une liaison à une instance

ADAM, afficher cette instance et parcourir son arborescence par le biais de l'Éditeur

ADSI ADAM » de la section Utilisation des outils d'administration ADAM.

2. Dans l'arborescence de la console, double-cliquez sur la partition d'annuaire

d'applications O=Microsoft,c=FR.

3. Dans l'arborescence de la console, cliquez sur le conteneur OU=Utilisateurs ADAM.

4. Dans le volet d'informations, cliquez avec le bouton droit sur CN=Mary Baker, puis

cliquez sur Propriétés.

5. Dans la zone Attributs, cliquez sur msDS-UserAccountDisabled, puis sur

Modifier.

6. Cliquez sur Vrai, puis sur OK. Le compte Mary Baker est désormais désactivé.

7. Pour activer de nouveau le compte Mary Baker, modifiez une nouvelle fois msDS-

UserAccountDisabled en définissant cette fois-ci l'attribut sur Faux.


49

Gestion des partitions d'annuaire dans ADAM

Les exercices suivants permettent de se familiariser avec un outil d'administration ADAM

supplémentaire, Ldp.exe. Il est installé avec le jeu d'outils d'administration ADAM. Dans

ces exercices, vous utilisez Ldp pour vous connecter et établir une liaison à une instance

ADAM puis, toujours au moyen de cet outil, vous ajoutez et supprimez une partition

d'annuaire d'applications. (Souvenez-vous, vous avez également la possibilité de créer

cette partition par le biais de l'Assistant Installation de Active Directory en mode

application.)

Connexion et liaison à une instance ADAM à l'aide de Ldp.exe Pour commencer cet exercice, connectez-vous et établissez une liaison à votre instance

ADAM au moyen de Ldp.exe.

Pour se connecter et établir une liaison à une instance ADAM au moyen de Ldp.exe



2. À l'invite de commandes, tapez ldp, puis appuyez sur Entrée.

3. Dans le menu Connection, cliquez sur Connect.

4. Dans le champ Server, tapez le nom de l'hôte ou le nom DNS de l'ordinateur qui

exécute ADAM. Lorsque l'instance ADAM est exécutée localement, vous pouvez

également taper localhost.

5. Dans la zone Port, indiquez le numéro du port de communication LDAP ou SSL de

l'instance ADAM à laquelle vous voulez vous connecter, puis cliquez sur OK.

6. Dans le menu Connection, cliquez sur Bind.


50

7. Effectuez l'une des actions suivantes :

Pour établir une liaison par le biais des informations d'identification avec

lesquelles vous vous êtes connecté, cliquez sur Bind as currently logged on

user.

Pour établir une liaison à l'aide d'un compte d'utilisateur de domaine, cliquez sur

Bind using credentials,tapez le nom d'utilisateur, le mot de passe et le nom de

domaine (ou le nom de l'ordinateur si vous utilisez un compte de station de travail

locale) du compte que vous utilisez, puis cliquez sur OK, comme indiqué dans

l'illustration suivante.

Pour établir une liaison en utilisant uniquement un nom d'utilisateur et un mot de

passe, cliquez sur Simple bind, tapez le nom de l'utilisateur et le mot de passe

du compte dont vous vous servez, puis cliquez sur OK.

Pour établir une liaison via une méthode avancée (NTLM, DPA, negotiate ou

digest), cliquez sur Advanced (méthode), puis sur Advanced. Dans la zone

Method, sélectionnez la méthode de votre choix, définissez au besoin d'autres

options, puis cliquez deux fois sur OK.

8. Une fois la définition des options de liaison terminée, cliquez sur OK.

Ajout d'une partition d'annuaire d'applications Vous pouvez à présent ajouter une partition d'annuaire d'applications.

Pour ajouter une partition d'annuaire d'applications à l'aide de Ldp.exe

1. Dans le menu Browse de Ldp, cliquez sur Add child.


51

2. Dans la zone Dn, tapez cn=test,o=partitiontest,c=fr comme nom unique pour la

nouvelle partition d'annuaire d'applications.

3. Dans le groupe d'options Edit Entry, indiquez les informations suivantes, puis

cliquez sur Enter.

Dans le champ Attribute, tapez ObjectClass.

Dans le champ Values, tapez container.


cliquez sur Enter.

Dans le champ Attribute, tapez InstanceType.

Dans le champ Values, tapez 5.

La boîte de dialogue Add correspond à l'illustration suivante :

5. Cliquez sur Run. Une fois la nouvelle partition d'annuaire d'applications ajoutée, le

résultat suivant s'affiche dans le volet d'informations :

***Calling Add...

ldap_add_s(ld, "cn=test,o=testpartition,c=us", [2] attrs)

Added {cn=test,o=testpartition,c=us}.


52

6. Cliquez sur Close.

7. Pour actualiser l'outil Ldp et afficher votre nouvelle partition d'annuaire d'applications,

vous devez vous déconnecter, puis établir de nouveau une liaison à l'instance

ADAM. Dans le menu Connection, cliquez sur Disconnect.

8. Rétablissez la liaison à votre instance ADAM. Dans le menu Connection, cliquez sur

Bind.

9. Pour afficher l'arborescence des répertoires dans Ldp, dans le menu View, cliquez

sur Tree.

10. Pour afficher toutes les partitions d'annuaire dans l'instance ADAM, laissez la zone

BaseDN vide, puis cliquez sur OK. La fenêtre Ldp ressemble à ceci :

11. Pour afficher la nouvelle partition d'annuaire avec ses objets et ses conteneurs par

défaut, dans l'arborescence de la console, double-cliquez sur

CN=test,O=partitiontest,C=FR. La fenêtre Ldp ressemble à ceci :


53

Suppression d'une partition d'annuaire d'applications Dans cet exercice, vous supprimez la partition d'annuaire d'applications que vous venez

de créer.

Pour supprimer une partition d'annuaire d'applications à l'aide de Ldp.exe

1. Dans l'arborescence de la console Ldp, double-cliquez sur la partition d'annuaire de

configuration CN=Configuration,CN={GUID}, sachant que GUID est l'identificateur

unique qui est attribué par ADAM.

2. Pour afficher les objets de référence croisée des partitions d'annuaire sur votre

instance ADAM, dans l'arborescence de la console, double-cliquez sur le conteneur

de partitions CN=Partitions. La fenêtre Ldp ressemble à ceci :


54

3. Dans l'arborescence de la console, sous le conteneur de partitions CN=Partitions,

double-cliquez sur l'objet de référence croisée pour lequel la valeur de nCName (tel

qu'affichée dans le volet d'informations) est égale à CN=test,O=partitiontest,C=FR,

comme montré dans l'illustration suivante :

Remarques

Pour effacer le contenu du volet d'informations de Ldp sans perturber votre

liaison ou votre connexion, dans le menu Connection, cliquez sur New.

4. Pour supprimer cet objet de référence croisée (et, par conséquent, la partition

d'annuaire associée), dans l'arborescence de la console, cliquez avec le bouton droit

sur l'objet concerné dans le conteneur de partitions, cliquez sur Delete, puis sur OK.

Attention


55

Il est impossible d'annuler la suppression d'une partition après avoir cliqué

sur OK.

Suite à la suppression de l'objet de référence croisée, le résultat qui s'affiche dans le

volet d'informations doit ressembler à ceci :

ldap_delete_s(ld, "CN=56c5aea2-5cb1-450a-96f0-

5622cd949791,CN=Partitions,CN=Configuration,CN={90BF4692-0FF5-4410-8835-

DCBBEE6E08B1}");

Deleted "CN=56c5aea2-5cb1-450a-96f0-

5622cd949791,CN=Partitions,CN=Configuration,CN={90BF4692-0FF5-4410-8835-

DCBBEE6E08B1}"

Remarques

Pour plus d'informations sur l'outil Ldp, voir l'Aide ADAM. Pour afficher cette aide,


cliquez sur Aide ADAM.

Gestion des autorisations dans ADAM

Les autorisations font référence au processus qui détermine l'accès des utilisateurs aux

objets d'annuaire. À l'instar d'Active Directory, les listes de contrôle d'accès, ou ACL

(Access Control Lists), de chaque objet d'annuaire précisent les utilisateurs qui ont

l'autorisation d'accéder à un objet particulier. Par défaut, les seules listes ACL présentes

dans ADAM se trouvent dans le conteneur de premier niveau de chaque partition

d'annuaire. Tout objet d'une partition d'annuaire donnée hérite de ces ACL. Grâce à l'outil

de ligne de commande Dsacls.exe, vous pouvez afficher et modifier les listes ACL par

défaut dans ADAM ou en ajouter de nouvelles. Dans les exercices suivants, vous

affichez et modifiez les listes ACL d'ADAM

Remarques

Certaines de vos applications qui utilisent des annuaires peuvent mettent en

œuvre leurs propres modèles d'autorisations personnalisés. En règle générale,

ces applications ignorent les listes ACL sur les objets d'annuaire ADAM.

Affichage des autorisations effectives Dans cet exercice, vous consultez les autorisations effectives sur la partition

o=Microsoft,c=FR.


56

Pour afficher des autorisations effectives




dsacls \\nomserveur:numéroport\O=Microsoft,C=FR


communication LDAP de votre instance ADAM.

Cette commande liste toutes les autorisations actuellement définies sur l'objet partition

d'annuaire. Les résultats affichés à l'écran doivent ressembler à ceci :

Access list:

Effective Permissions on this object are:

Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-

C3BEC88B335E}

SPECIAL ACCESS

READ PERMISSONS

LIST CONTENTS

READ PROPERTY

LIST OBJECT

Allow CN=Readers,CN=Roles,O=Microsoft,C=US

SPECIAL ACCESS

READ PERMISSONS

LIST CONTENTS

READ PROPERTY

LIST OBJECT

Allow CN=Administrators,CN=Roles,O=Microsoft,C=US

FULL CONTROL


C3BEC88B335E}

Replicating Directory Changes


C3BEC88B335E}

Replication Synchronization


C3BEC88B335E}

Manage Replication Topology


C3BEC88B335E}

Replicating Directory Changes All

Permissions inherited to subobjects are:

Inherited to all subobjects


SPECIAL ACCESS

READ PERMISSONS

LIST CONTENTS

READ PROPERTY


57

LIST OBJECT


FULL CONTROL

The command completed successfully

Octroi d'autorisations Dans cet exercice, vous accordez au compte Mary Baker l'autorisation de suppression

sur l'objet groupe des testeurs ADAM.

Pour accorder l'autorisation de suppression




dsacls “\\nomserveur:numéroport\CN=Testeurs ADAM,OU=Utilisateurs

ADAM,O=Microsoft,C=FR” /G “CN=Mary Baker,OU=Utilisateurs

ADAM,O=Microsoft,C=FR”:SD;;


communication LDAP de votre instance ADAM. Faites attention à bien utiliser les

guillemets anglais, ainsi que la lettre majuscule G lorsque vous tapez le paramètre

/G, comme indiqué.

Les résultats affichés à l'écran doivent ressembler à ceci :

Access list:


Allow CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US

SPECIAL ACCESS

DELETE


SPECIAL ACCESS <Inherited from parent>

READ PERMISSONS

LIST CONTENTS

READ PROPERTY

LIST OBJECT


FULL CONTROL <Inherited from parent>





READ PERMISSONS

LIST CONTENTS


58

READ PROPERTY

LIST OBJECT




Refus d'autorisations Dans cet exercice, vous refusez d'accorder des autorisations de suppression à

l'utilisateur actuellement connecté dans le groupe des testeurs ADAM. Vous procédez en

deux étapes :

Refuser l'octroi des autorisations de suppression sur le conteneur parent du groupe

des testeurs ADAM

Refuser l'octroi des autorisations de suppression sur le groupe lui-même

Pour refuser d'accorder des autorisations de suppression sur le conteneur parent d'un groupe

1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis

cliquez sur Invite de commande des outils ADAM.

2. Pour refuser d'accorder les autorisations Supprimer, Supprimer un enfant et

Supprimer l'arborescence sur le conteneur parent du groupe des testeurs ADAM,

autrement dit sur l'unité d'organisation des utilisateurs ADAM. À l'invite de

commandes, tapez :

dsacls “\\nomserveur:numéroport\OU=Utilisateurs ADAM,O=microsoft,C=FR”

/D domaine\administrateur:SDDCDT;;

sachant que nomserveur:numéroport représente le nom de l'ordinateur et le port

de communication LDAP de votre instance ADAM, et domaine\administrateur le

compte via lequel vous êtes actuellement connecté. Faites attention à bien

utiliser les guillemets anglais, ainsi que la lettre majuscule D lorsque vous tapez

le paramètre /D, comme indiqué.


Access list:


Deny domain\account SPECIAL ACCESS DELETE

DELETE CHILD

DELETE TREE




59

READ PERMISSONS

LIST CONTENTS

READ PROPERTY

LIST OBJECT







READ PERMISSONS

LIST CONTENTS

READ PROPERTY

LIST OBJECT




Pour refuser d'accorder des autorisations de suppression sur le groupe



2. Pour refuser d'accorder à l'utilisateur actuellement connecté l'autorisation de

suppression sur le groupe des testeurs ADAM, à l'invite de commandes, tapez :

dsacls “\\nomserveur:numéroport\CN=Testeurs ADAM,OU=Utilisateurs

ADAM,O=microsoft,C=FR” /D domaine\administrateur:SDDCDT;;

sachant que nomserveur:numéroport représente le nom de l'ordinateur et le port

de communication LDAP de votre instance ADAM, et domaine\administrateur le

compte via lequel vous êtes actuellement connecté. Faites attention à bien

utiliser les guillemets anglais, ainsi que la lettre majuscule D lorsque vous tapez

le paramètre /D, comme indiqué.


Access list:


Deny domain\account SPECIAL ACCESS DELETE



READ PERMISSONS

LIST CONTENTS

READ PROPERTY

LIST OBJECT



60






READ PERMISSONS

LIST CONTENTS

READ PROPERTY

LIST OBJECT




Gestion de l'authentification dans ADAM

Grâce à ADAM, vous pouvez établir une liaison en tant qu'entité de sécurité Windows, en

tant qu'entité de sécurité ADAM ou établir cette liaison par l'intermédiaire d'un objet proxy

ADAM. Dans les exercices ci-dessous, vous allez effectuer les opérations suivantes :

Établir une liaison en tant qu'entité de sécurité Windows.

Définir un mot de passe pour le compte d'utilisateur ADAM, Mary Baker, que vous

avez créé précédemment.

Établir une liaison en tant qu'entité de sécurité ADAM.

Établir une liaison par l'intermédiaire d'un objet proxy ADAM.

Par ailleurs, vous testez les autorisations que vous avez définies à l'aide de l'outil de

ligne de commande Dsacls.exe dans les exercices de la section Gestion des

autorisations dans ADAM.

Liaison en tant qu'entité de sécurité Windows Dans cet exercice, vous établissez une liaison à une instance ADAM en tant qu'entité de

sécurité Windows, puis testez cette liaison.

Pour établir une liaison en tant qu'entité de sécurité Windows et la tester


cliquez sur Éditeur ADSI ADAM.

2. À l'aide de l'Éditeur ADSI ADAM, établissez une liaison à votre instance ADAM

par l'intermédiaire de l'entité de sécurité Windows avec laquelle vous avez ouvert


61

une session et connectez-vous à la partition d'annuaire O=Microsoft,c=FR.

3. Dans le volet d'informations, parcourez l'arborescence jusqu'au groupe des

testeurs ADAM pour lequel vous avez refusé l'autorisation de suppression sur

votre compte Windows actuel.

4. Cliquez avec le bouton droit sur le groupe des testeurs ADAM, puis cliquez sur

Supprimer. Le message « Accès refusé » s'affiche, confirmant que l'autorisation

de suppression est bien refusée à votre compte Windows.

Définition du mot de passe d'un utilisateur ADAM Avant de vous connecter à l'instance ADAM par le biais du compte d'utilisateur Mary

Baker, vous devez tout d'abord définir un mot de passe pour ce compte.

Remarques

Outre l'utilisation de l'outil Ldp comme décrit dans cette procédure, vous pouvez

également recourir à l'Éditeur ADSI ADAM pour définir ou modifier les mots de

passe : cliquez avec le bouton droit sur l'objet d'annuaire représentant l'entité de

sécurité ADAM dans l'Éditeur, puis cliquez sur Réinitialiser le mot de passe.

Pour définir un mot de passe sur un compte d'utilisateur ADAM



2. À l'invite de commande, tapez ldp, puis appuyez sur Entrée.

3. Dans le menu Connection, cliquez sur Connect, puis connectez-vous à votre

instance ADAM.

4. Dans le menu Options, cliquez sur ConnectionOptions.

5. Dans la zone Option Name, cliquez sur LDAP_OPT_SIGN, dans le champ

Value, tapez 1 puis cliquez sur Set.

6. Dans la zone Option Name, cliquez sur LDAP_OPT_ENCRYPT, puis dans le

champ Value, tapez 1 et cliquez sur Set.

7. Dans le menu Connection, cliquez sur Bind, puis établissez une connexion à

votre instance ADAM.

8. Dans le menu View, cliquez sur Tree, laissez la zone BaseDN vide, puis cliquez

sur OK.

9. Dans l'arborescence de la console, repérez la partition d'annuaire

O=Microsoft,c=FR. Double-cliquez sur O=Microsoft,C=FR, puis sur


62

OU=Utilisateurs ADAM,O=Microsoft,C=FR.

10. Cliquez avec le bouton droit de la souris sur l'objet utilisateur CN=Mary Baker,

puis cliquez sur Modify. La boîte de dialogue suivante s'affiche :

11. Dans le champ Attribute, tapez userpassword, puis dans Values, indiquez un

mot de passe pour le compte.

12. Cliquez sur Enter, puis sur Run. Les résultats affichés dans le volet

d'informations de Ldp doivent ressembler à ce qui suit :

***Call Modify...

ldap_modify_s(ld, 'CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US',[1]

attrs);

Modified "CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US".

Remarques

Lorsque ADAM s'exécute sur un ordinateur équipé d'une version de

Windows Server 2003, il respecte la stratégie de mot de passe et les

paramètres de verrouillage des comptes de l'ordinateur, de l'unité

d'organisation ou du domaine qui est déclaré effectif.


63

Liaison en tant qu'entité de sécurité ADAM Dans cet exercice, vous établissez une liaison à une instance ADAM en tant qu'entité de

sécurité ADAM, puis testez cette liaison.

Pour établir une liaison en tant qu'entité de sécurité ADAM et la tester

1. À l'aide de l'outil Ldp, établissez une liaison à votre instance ADAM au moyen de

CN=Mary Baker,OU=Utilisateurs ADAM,O=Microsoft,C=FR en guise de compte,

et du mot de passe que vous venez d'attribuer à ce compte.

2. Pour confirmer votre connexion via le compte Mary Baker et vérifier que

l'autorisation de suppression accordée précédemment est bien respectée, dans

l'arborescence de la console Ldp, repérez le groupe des testeurs ADAM et

supprimez-le. Pour supprimer ce groupe, cliquez avec le bouton droit sur l'objet

CN=Testeurs ADAM, puis cliquez sur Delete.

Remarques

Par défaut, les nouveaux utilisateurs ADAM (tels que Mary Baker) se

voient accorder l'accès en lecture au conteneur de premier niveau d'une

partition d'annuaire donnée ; cette autorisation est transmise par héritage

à tous les objets sur la partition. Mais, dans la mesure où vous avez

attribué explicitement l'autorisation de suppression à Mary Baker sur

l'objet groupe des testeurs ADAM, l'opération de suppression a réussi.

Pour plus d'informations sur le contrôle d'accès et les autorisations par

défaut dans ADAM, voir l'Aide ADAM. Pour afficher cette aide, cliquez

sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis


Liaison par l'intermédiaire d'un objet proxy ADAM Outre la possibilité d'établir une liaison en tant qu'utilisateur Windows ou utilisateur

ADAM, vous pouvez établir une liaison à une instance ADAM au moyen de la redirection

de liaison ADAM. Lorsque vous utilisez cette fonction de redirection, ADAM peut

accepter et traiter les demandes de liaison à un objet proxy ADAM qui compte, parmi ses

attributs, l'identificateur de sécurité,ou SID (Security ID), provenant d'une entité de

sécurité Active Directory. Grâce à ADAM, vous pouvez utiliser la redirection de liaison

pour fournir aux utilisateurs Active Directory un accès aux données ADAM et aux

données Active Directory en vous servant des informations d'identification de domaine

Active Directory en guise d'authentification unique (SSO). Par ailleurs, vous pouvez avoir

recours à des objets proxy ADAM pour stocker des données utilisateur spécifiques à une


64

application particulière dans ADAM, tandis que vous utilisez Active Directory pour

stocker des données d'annuaire dont le champ d'utilisation est plus large.

La redirection de liaison permet à un utilisateur d'établir une liaison à ADAM par le biais

d'une liaison simple tout en continuant d'utiliser des informations d'identification Active

Directory. D'autres types de liaisons autorisés avec les informations d'identification Active

Directory sont possibles sans passer par un proxy, mais ce n'est pas le cas d'une liaison

simple. La liaison par proxy fonctionne uniquement pour une liaison simple.

Les fichiers .ldf d'ADAM, importables dans le schéma ADAM au cours de l'installation de

Active Directory en mode application, contiennent une définition d'objet pour l'objet

userProxy qu'il est possible d'utiliser dans le cadre de la redirection de liaison. Cet objet

est doté d'attributs qui englobent un nom unique et un SID. Si, dans ADAM, vous créez

un objet userProxy en indiquant un nom unique à utiliser pour la liaison et que vous

utilisez un SID valide à partir d'un compte d'utilisateur Active Directory, vous pouvez

établir des liaisons à ADAM au moyen de la redirection de liaison. Pour plus

d'informations sur l'authentification ADAM, voir l'article consacré à « Active Directory en

mode application » (éventuellement en anglais) publié comme référence technique sur le

site Web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=51640).

Pour les exercices suivants, il est entendu que vous avez déjà importé les classes

utilisateur facultatives dans le schéma ADAM.

Sécurité et liaison des objets proxy ADAM

Par défaut, l'établissement d'une liaison à ADAM via la redirection de liaison nécessite

une connexion SSL. La technologie SSL implique l'installation et l'utilisation de certificats

sur l'ordinateur exécutant ADAM et sur l'ordinateur connecté à ADAM en tant que client.

Si aucun certificat n'est installé dans votre environnement de test ADAM, vous pouvez, le

cas échéant, désactiver l'option requérant l'utilisation du protocole SSL, tel que décrit

dans la procédure suivante.

Remarques

Le fait de désactiver l'utilisation du protocole SSL pour la redirection de liaison

permet la transmission, sans chiffrement préalable, du mot de passe d'une entité

de sécurité Windows à l'ordinateur exécutant ADAM. Il est donc conseillé de

désactiver l'option SSL uniquement dans un environnement de test.

Pour désactiver l'utilisation du protocole SSL lors de la redirection de liaison

1. Comme décrit dans la procédure « Pour établir une liaison à une instance

ADAM, afficher cette instance et parcourir son arborescence par le biais de

l'Éditeur ADSI ADAM », connectez-vous en vue d'établir une liaison à votre

instance ADAM par l'intermédiaire de l'Éditeur ADSI ADAM puis, dans

http://go.microsoft.com/fwlink/?LinkId=51640




65

l'arborescence de la console, recherchez l'objet conteneur suivant dans la

partition de configuration : CN=Directory Service,CN=Windows NT,CN=Services.

2. Cliquez avec le bouton droit de la souris sur CN=Directory Service, puis cliquez

sur Propriétés.

3. Dans la zone Attributs, cliquez sur msDS-Other-Settings, puis sur Modifier.

4. Dans la zone Valeurs, cliquez sur RequireSecureProxyBind=1, puis sur

Supprimer.

5. Dans le champ Valeur à ajouter, tapez RequireSecureProxyBind=0, cliquez

sur Ajouter, puis sur OK.

Création d'un objet proxy ADAM puis d'une liaison par le biais de cet objet

Dans ces exercices, vous créez un objet proxy pour un utilisateur Active Directory et

vous établissez une liaison à ADAM par l'intermédiaire de cet objet.

Pour établir une liaison à ADAM par le biais d'un objet proxy ADAM

1. Comme décrit précédemment dans la procédure « Pour se connecter et établir

une liaison à une instance ADAM au moyen de Ldp.exe », connectez-vous en

vue d'établir une liaison à votre instance ADAM par le biais de l'outil Ldp, puis

recherchez le conteneur O=Microsoft,C=FR.

2. Dans le menu Ldp Browse, cliquez sur Add child.

3. Dans le champ Dn, tapez cn=proxytest,o=microsoft,c=fr comme nom unique

pour le nouvel objet userProxy à créer dans le conteneur O=Microsoft,C=FR.


cliquez sur Enter.

Dans le champ Attribute, tapez ObjectClass.

Dans le champ Values, tapez userProxy.

5. Toujours dans le groupe d'options Edit Entry, indiquez les informations

suivantes, puis cliquez sur Enter :

Dans le champ Attribute, tapez objectSID

Dans le champ Values, tapez le SID valide d'un utilisateur dans Active

Directory.

Le répertoire \LABS_DEMO\LABS\bindredirect du mode ADAM téléchargé

contient deux commandes issues du Pack des outils d'administration de

Windows Server 2003, Dsquery.exe et Dsget.exe. Elles permettent de

récupérer le SID d'un utilisateur Active Directory. Vous pouvez les exécuter


66

sur un ordinateur Windows Server 2003.

Pour récupérer le SID d'un utilisateur Active Directory par le biais de ces

commandes, tapez la ligne suivante (comme commande unique) à partir de

l'invite de commandes :

dsquery user -samid domaine\compte | dsget user -sid

sachant que domaine\compte représente l'utilisateur dont vous voulez

récupérer le SID. Dans cette commande, les résultats de Dsquery sont

envoyés vers Dsget.

Vous pouvez extraire le SID de l'utilisateur actuellement connecté sur un

ordinateur qui exécute Windows Server 2003 en tapant la ligne suivante à

partir de l'invite de commandes :

whoami /user

(Certaines versions de whoami respectent la syntaxe whoami /utilisateur

/sid.)

6. Cliquez sur Run. L'objet userProxy, doté des attributs que vous avez spécifiés,

est ainsi ajouté au magasin d'annuaire ADAM.

7. Pour vous déconnecter de votre instance ADAM, dans le menu Connection

cliquez sur Disconnect.

À présent, vous pouvez établir une liaison à votre instance ADAM par le biais de l'objet

proxy ADAM et de la redirection de liaison.

Pour établir une liaison en tant qu'objet proxy ADAM via la redirection de liaison

1. Dans le menu Connection, cliquez sur Connect, puis connectez-vous à votre

instance ADAM en utilisant une nouvelle connexion.

2. Dans le menu Options, cliquez sur ConnectionOptions.

3. Dans la zone Option Name, cliquez sur LDAP_OPT_SIGN, dans le champ

Value, tapez 1 puis cliquez sur Set.

4. Dans la zone Option Name, cliquez sur LDAP_OPT_ENCRYPT, puis dans le

champ Value, tapez 1 et cliquez sur Set, puis sur Close.

5. Pour rétablir une liaison à votre instance ADAM par le biais de Ldp, dans le

menu Connection cliquez sur Bind.

6. Dans la zone User, tapez :

cn=proxytest,o=Microsoft,c=fr

Il s'agit de l'objet proxy que vous venez de créer.

7. Vérifiez que l'option Domain n'est pas sélectionnée.


67

8. Dans le champ Password, indiquez le mot de passe associé à l'utilisateur Active

Directory que vous avez spécifié à l'étape 5 de la procédure précédente, puis

cliquez sur OK.

Démonstration de la fonctionnalité de l'objet proxy ADAM

Par défaut, un utilisateur Windows qui établit une liaison à une instance ADAM est affilié

uniquement aux groupes ADAM dans lesquels il a été ajouté explicitement en tant que

membre. Lorsque cet utilisateur établit une liaison à une instance ADAM par le biais d'un

objet proxy, il est affilié au groupe Utilisateurs de chaque contexte d'attribution de noms

détenu par l'instance ADAM.

Vous pouvez utiliser cette différence au niveau des appartenances de groupe pour faire

ressortir la différence fonctionnelle qui existe entre la liaison à une instance ADAM en

tant qu'utilisateur Windows et la liaison à une instance ADAM par le biais d'un objet

proxy. L'exercice suivant illustre cette différence.

Pour démontrer le comportement d'une liaison à ADAM par le biais d'un objet proxy

1. Dans la partition d'annuaire O=Microsoft,C=FR, ajoutez le groupe Utilisateurs

comme membre du groupe Lecteurs en suivant les indications générales sur

l'ajout de membres à des groupes, tel que décrit précédemment dans la

procédure « Pour ajouter un utilisateur à un groupe ».

2. Établissez une liaison à votre instance ADAM (par le biais de l'outil Ldp ou de

l'Éditeur ADSI ADAM) en tant qu'utilisateur Active Directory (et non pas comme

administrateur ADAM puisqu'il bénéficie de l'accès total à toutes les partitions par

défaut).

3. Essayez de lire un objet dans la partition d'annuaire O=Microsoft,C=FR. Votre

tentative est vouée à l'échec puisque par défaut, l'utilisateur Active Directory n'a

pas accès à la partition.

4. Établissez une liaison à votre instance ADAM (par le biais de l'outil Ldp ou de

l'Éditeur ADSI ADAM) par l'intermédiaire de l'objet proxy que vous avez créé.

5. Essayez de lire un objet dans la partition d'annuaire O=Microsoft,C=FR. Cette

fois-ci, votre tentative sera couronnée de succès puisque les utilisateurs

établissant une liaison à une instance ADAM via un objet proxy sont affiliés

automatiquement au groupe Utilisateurs. Comme vous avez ajouté le groupe

Utilisateurs au groupe Lecteurs à l'étape 1 de cette procédure, la liaison à

l'instance ADAM par le biais de l'objet proxy vous permet de lire la partition sans

aucune difficulté.

Remarques


68

Pour plus d'informations sur la redirection de liaison, voir l'Aide ADAM.

Pour afficher cette aide, cliquez sur Démarrer, pointez sur Tous les

programmes, sur ADAM, puis cliquez sur Aide ADAM. Pour plus

d'informations sur l'administration des objets proxy au moyen de

programmes, voir Administration d'ADAM par programme plus loin dans

ce guide.

Sauvegarde et restauration d'Active Directory en mode application (ADAM)

Dans les exercices suivants, vous commencez par sauvegarder votre instance ADAM,

puis vous supprimez complètement ADAM de l'ordinateur pour finalement restaurer cette

instance ADAM sur le système.

Sauvegarde d'une instance ADAM Dans cet exercice, vous sauvegardez votre instance ADAM.

Pour sauvegarder une instance ADAM

1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur Accessoires et sur

Outils système, puis cliquez sur Utilitaire de sauvegarde.

2. Dans l'Assistant Sauvegarde ou Restauration, cliquez sur le lien Mode avancé.

3. Cliquez sur l'onglet Sauvegarder puis, dans le menu Tâche, cliquez sur Nouveau.

4. Activez la case à cocher en regard du dossier de votre instance ADAM qui se

nomme, par défaut, %programfiles%\Microsoft\ADAM\instance1.

5. Pour sauvegarder les fichiers ADAM dans un fichier, repérez la zone Effectuer la

sauvegarde vers et cliquez sur Fichier. (Si l'ordinateur n'est pas équipé de lecteur

de bandes, l'option Fichier est sélectionnée par défaut.) Puis, dans la zone Nom du

fichier ou média de sauvegarde, tapez le chemin et le nom du fichier de

sauvegarde (.bkf). À présent, les résultats affichés à l'écran doivent ressembler à

ceci :


69

6. Cliquez sur Démarrer, puis apportez les modifications voulues dans la boîte de

dialogue Informations sur la sauvegarde.

7. Pour définir les options avancées de sauvegarde telles que la vérification des

données ou la compression matérielle, dans la boîte de dialogue Informations sur

la sauvegarde, cliquez sur Avancé. Après avoir défini les options avancées de

sauvegarde, cliquez sur OK.

8. Cliquez sur Démarrer. Une fois la sauvegarde effectuée, fermez l'application.

Suppression d'une instance ADAM Afin de simuler la perte accidentelle d'une instance, vous pouvez désinstaller votre

instance ADAM, ce qui supprime à la fois les fichiers programme et les fichiers de

données ADAM.

Pour désinstaller une instance ADAM

1. Cliquez sur Démarrer, pointez sur Panneau de configuration, cliquez ensuite sur

Ajout/Suppression de programmes, puis sur Instance ADAM instance1. S'il est


70

le premier élément de la liste, Instance ADAM instance1 est déjà sélectionné.

2. Cliquez sur Supprimer, puis sur Oui. Active Directory en mode application est à

présent supprimé de l'ordinateur.

Restauration d'une instance ADAM Dans cet exercice, vous restaurez votre instance ADAM à partir du fichier de sauvegarde

créé au cours de l'exercice précédent.

Pour restaurer une instance ADAM

1. Créez une instance ADAM en suivant les étapes décrites dans la section Installation

d'ADAM. Utilisez les mêmes paramètres que ceux que vous avez choisis lors de

votre première installation ADAM à l'exception, dans ce cas précis, de la partition

d'annuaire d'applications que vous ne créez pas pendant l'installation. Vous pouvez

restaurer votre partition d'annuaire d'applications originale à partir de la sauvegarde

effectuée. Ainsi, dans la page Partition de l'annuaire d'applications de l'Assistant

Installation de Active Directory en mode application, cliquez sur Non, ne pas créer

de partition d'annuaire d'applications.



3. Dans l'Assistant Sauvegarde ou Restauration, cliquez sur le lien Mode avancé.

4. Affichez l'onglet Restaurer et gérer le média. Pour sélectionner l'instance ADAM à

restaurer, dans le volet d'informations activez la case à cocher en regard du dossier

de l'instance1, comme indiqué dans l'illustration suivante :


71

5. Dans la zone Restaurer les fichiers vers, cliquez sur Emplacement d'origine.

6. Dans le menu Outils, cliquez sur Options, affichez l'onglet Restaurer, cliquez sur

Toujours remplacer les fichiers sur mon ordinateur, puis sur OK.

7. Cliquez sur Démarrer.

8. Si vous recevez un message vous demandant de redémarrer votre ordinateur,

cliquez sur Oui.

9. Une fois la sauvegarde restaurée, fermez l'application.

10. Pour vérifier si les données provenant de votre instance ADAM originale sont bien

restaurées, utilisez l'Éditeur ADSI ADAM qui permettra de confirmer la restauration

de la partition d'annuaire O=Microsoft,C=FR ainsi que la présence de

OU=Utilisateurs ADAM et du compte d'utilisateur Mary Baker dans la partition.


72

Gestion des jeux de configuration

Dans les exercices suivants, vous créez de nouvelles instances en répliquant votre

instance ADAM existante. En procédant ainsi, vous créez également un jeu de

configuration ADAM. Les instances ADAM d'un jeu de configuration procèdent à la

réplication d'une partition de schéma et d'une partition de configuration communes, elles

peuvent également répliquer des partitions d'annuaire d'applications (comme

O=Microsoft,C=FR) entre elles.

Dans les exercices suivants, vous installez deux réplicas d'une instance ADAM existante.

Vous créez la première instance répliquée à l'aide de l'Assistant Installation de Active

Directory en mode application et créez la seconde par le biais de l'installation sans

assistance. Vous configurez ensuite la planification de la réplication pour votre jeu de

configuration.

Remarques

Dans un environnement de production, les instances ADAM qui appartiennent au

même jeu de configuration ne peuvent pas résider sur le même ordinateur.

Plusieurs instances ADAM peuvent s'exécuter sur un même ordinateur, mais

elles doivent faire partie de jeux de configuration différents. Toutefois, pour les

besoins du présent ouvrage, vous pouvez installer les réplicas de votre instance

ADAM sur un ordinateur unique si aucune autre machine n'est disponible.

Installation d'un réplica à l'aide de l'Assistant Installation de Active Directory en mode application Vous pouvez installer un réplica d'une instance ADAM à l'aide de l'Assistant Installation

de Active Directory en mode application.

Pour installer un réplica d'une instance ADAM à l'aide de l'Assistant Installation de Active Directory en mode application

1. Démarrez l'Assistant Installation de Active Directory en mode application sur votre

ordinateur, sur la seconde machine si vous en possédez deux : cliquez sur

Démarrer, pointez sur Tous les programmes, sur ADAM, puis cliquez sur Créer

une instance ADAM. Suivez les étapes de l'Assistant jusqu'à la page Options

d'installation.

2. Dans la page Options d'installation, cliquez sur Un réplica d'une instance

existante, puis sur Suivant.


73

3. Dans la page Nom de l'instance, acceptez le nom d'instance par défaut, instance2

(ou instance1, si vous installez ADAM sur un deuxième ordinateur), puis cliquez sur

Suivant.

Remarques

Les noms des instances ADAM doivent être uniques seulement si elles se

trouvent sur un même ordinateur.

4. Dans la page Ports, acceptez les valeurs par défaut 50000 et 50001 si vous

procédez à une installation sur un seul ordinateur, utilisez les valeurs 389 et 636 si

l'installation s'effectue sur le deuxième ordinateur. Cliquez ensuite sur Suivant.

5. Dans la page Joindre un jeu de configuration, dans le champ Serveur, tapez le

nom d'hôte ou le nom DNS de l'ordinateur où la première instance ADAM est

installée. Indiquez ensuite le numéro de port LDAP utilisé par la première instance

ADAM (par défaut, 389), puis cliquez sur Suivant.

Remarques

Vous devez utiliser un nom d'hôte ou un nom DNS valide, plutôt qu'une

adresse IP ou « localhost » lorsque vous indiquez un serveur dans la page

Joindre un jeu de configuration de l'Assistant Installation de Active

Directory en mode application.

6. Dans la page Informations d'identification administratives pour le jeu de

configuration, cliquez sur le compte utilisé en tant qu'administrateur ADAM pour

votre première instance ADAM.

7. Dans la page Copier la partition d'application, sélectionnez les partitions

d'annuaire d'applications que vous voulez répliquer sur la nouvelle instance ADAM.

(La réplication des partitions de schéma et de configuration est automatique.) Pour

sélectionner la partition d'annuaire O=Microsoft,C=FR en vue de sa réplication, dans

la zone Partitions disponibles, cliquez sur O=Microsoft,C=FR, puis sur Ajouter.

L'Assistant Installation de Active Directory en mode application doit ressembler

à ceci :


74

8. Cliquez sur Suivant.

9. Acceptez les valeurs par défaut dans toutes les autres pages de l'Assistant

Installation de Active Directory en mode application en cliquant sur Suivant. Cliquez

ensuite sur Terminer dans la dernière page pour lancer l'installation de l'Assistant.

10. Une fois l'installation terminée, utilisez l'Éditeur ADSI ADAM pour vérifier que la

réplication de la partition d'annuaire O=Microsoft,C=FR s'est déroulée correctement

sur votre seconde instance ADAM.

Installation d'un réplica à partir d'un média par le biais de l'installation sans assistance Outre l'utilisation de l'Assistant Installation de Active Directory en mode application, vous

avez également la possibilité d'installer un réplica d'une instance ADAM à partir d'un

média. Pour ce type d'installation, vous avez besoin de la copie restaurée d'une

sauvegarde ADAM comme média, et du mode d'installation sans assistance comme

méthode d'installation.


75

En premier lieu, restaurez la sauvegarde de l'instance ADAM sur un autre

emplacement que celui d'origine pour ne pas écraser votre première instance ADAM.

Créez ensuite un fichier de réponse et procédez à l'installation sans assistance.

Pour installer une instance ADAM répliquée par le biais de l'installation sans assistance



2. Utilisez l'application de sauvegarde, comme vous le faites habituellement, pour

restaurer l'exemplaire sauvegardé de votre instance ADAM originale. Cette fois-ci,

cependant, dans la zone Restaurer les fichiers vers, cliquez sur l'option Autre

emplacement au lieu de choisir Emplacement d'origine, puis tapez ou recherchez

le chemin d'accès de la partition sur laquelle vous voulez restaurer les fichiers,

comme montré dans l'illustration suivante.

3. Une fois les fichiers de sauvegarde restaurés, créez un fichier de réponse pour

l'installation sans assistance de ADAM. Un fichier de réponse fournit les valeurs des

options de l'installation ADAM (il s'agit des mêmes options que celles proposées

dans l'Assistant Installation de Active Directory en mode application). À l'aide d'un


76

éditeur de texte, créez un fichier texte appelé Réponses.txt dans lequel vous copiez

le contenu suivant. Assurez-vous de remplacer nomserveur par le nom d'hôte ou le

nom DNS de l'ordinateur sur lequel la première instance ADAM s'exécute.

Remplacez également C:\media_install\Program

Files\Microsoft\ADAM\instance1\data par le chemin d'accès de la copie restaurée de

la première instance ADAM.

[ADAMInstall]

; The following line specifies to install a replica ADAM instance.

InstallType=Replica

; The following line specifies the name to be assigned to the new instance.

InstanceName=instance3

; The following lines specify the communication ports to use for LDAP and

SSL.

LocalLDAPPortToListenOn=50002

LocalSSLPortToListenOn=50003

; The following lines specify the directory location of the restored files.

ReplicationDataSourcePath=C:\media_install\Program

Files\Microsoft\ADAM\instance1\data

ReplicationLogSourcePath=C:\media _install\Program

Files\Microsoft\ADAM\instance1\data

; The following lines specify a computer name and ADAM port of an ADAM

instance in the

; configuration set you want to join

; Replace servername with the name of the computer on which your first ADAM

; instance is running

SourceServer=servername

SourceLDAPPort=389

4. La sauvegarde du fichier Réponse.txt effectuée, vous êtes prêt à lancer l'installation

en mode sans assistance. À une invite de commandes, tapez :

lecteur:\chemin\adamsetup /c:"adaminstall.exe

/answer:lecteur:\nomchemin\réponse.txt"

sachant que lecteur:\chemin représente l'emplacement du mode ADAM téléchargé,

et lecteur:\nomchemin l'emplacement du fichier Réponse.txt que vous avez créé.

5. Après l'exécution de cette commande, vous pouvez vérifier au moyen du composant

logiciel enfichable Services qu'une nouvelle instance ADAM est installée et

opérationnelle.

Configuration de la planification de la réplication À présent que vous disposez de plusieurs instances ADAM regroupées dans un jeu de

configuration unique, vous pouvez planifier la réplication. Cette planification est


77

facultative. À l'instar d'Active Directory, ADAM offre toujours une planification de

réplication par défaut.

Pour planifier la réplication entre des instances ADAM


sur Éditeur ADSI ADAM.

2. Connectez-vous et établissez une liaison à l'une des instances ADAM.

Remarques

Étant donné que vos instances ADAM appartiennent au même jeu de

configuration, vous pouvez planifier la réplication sur l'instance de votre

choix.

3. Dans l'arborescence de la console, double-cliquez sur la partition de configuration

CN=Configuration,CN={GUID}, sachant que GUID représente l'identificateur unique

attribué au cours de l'installation d'ADAM. Double-cliquez sur le conteneur des sites,

CN=Sites, puis sur le conteneur des sites par défaut CN=Premier-Site-par-défaut.

Le composant logiciel enfichable Éditeur ADSI ADAM ressemble à ceci :

Remarques

Par défaut, toutes les instances ADAM que vous créez appartiennent à un

site unique, Premier-Site-par-defaut. Dans cet exercice, toutes vos instances

ADAM appartiennent à un seul et même site. Vous planifiez donc la

réplication au sein d'un site, c'est la réplication intrasite. Pour plus

d'informations sur les sites ADAM, les jeux de configuration et la réplication,

voir le Guide de l'Administrateur Active Directory en mode application. Pour

consulter ce guide, cliquez sur Démarrer, pointez sur Tous les


78

programmes, sur ADAM, puis cliquez sur Aide ADAM.

4. Dans le volet d'informations, cliquez avec le bouton droit sur CN=NTDS Site

Settings, puis cliquez sur Planifier.

5. Dans la boîte de dialogue Planification, sélectionnez la plage horaire à planifier.

Cliquez au choix sur Aucune, Une fois par heure, Deux fois par heure ou Quatre

fois par heure pour définir la fréquence de réplication, puis cliquez sur OK. La boîte

de dialogue Planification correspond à l'illustration suivante :

Remarques

En ce qui concerne la réplication intrasite, les instances ADAM procèdent à

la réplication des modifications par le biais de notifications de mise à jour. La

fréquence de réplication planifiée n'a d'incidence sur la réplication intrasite

que s'il n'existe aucune notification de mise à jour au moment indiqué.

Déclenchement de la réplication immédiate d'une partition d'annuaire L'Assistant Installation de Active Directory en mode application installe une version

ADAM de Repadmin.exe, celle-ci présente les mêmes fonctionnalités que la version

Active Directory de cet outil. Comme dans Active Directory, grâce à Repadmin.exe, vous

pouvez déclencher la synchronisation immédiate d'une partition d'annuaire entre les

partenaires de réplication, tel que décrit dans cet exercice.


79

Pour provoquer la réplication immédiate d'une partition d'annuaire au moyen de Repadmin.exe




repadmin /syncall localhost:389 o=Microsoft,c=fr

Remarques

Pour obtenir plus d'informations sur la syntaxe de repadmin, à l'invite de

commandes des outils ADAM, tapez repadmin /?.

Administration d'ADAM par programme

Grâce à l'exécution de programmes, vous pouvez réaliser bon nombre de tâches

effectuées manuellement à l'aide des outils d'administration de ADAM. Le mode

d'exécution ADAM que vous avez téléchargé comprend plusieurs exemples de scripts et

exemples de code qui vous aideront à écrire ces instructions.

Administration de ADAM par programme via des scripts Visual Basic Le répertoire \LABS_DEMO\LABS\VBScript du mode ADAM téléchargé contient des

exemples de scripts produits dans Microsoft® Visual Basic®, Scripting Edition (VBScript)

pour les opérations courantes répertoriées ici :

Étendre un schéma pour inclure la classe Contact (Adamcontact.vbs)

Importer deux contacts. (AdamContactImport.vbs)

Les scripts suivants supposent l'importation de Adamuser.ldf lors d'un précédent

exercice :

Ajouter une unité d'organisation

Ajouter un utilisateur

Ajouter un groupe

Ajouter un utilisateur à un groupe

Supprimer un utilisateur

Obtenir une liste d'objets spécifiques dans un chemin d'accès (Filter_adam.vbs)


80

Énumérer des utilisateurs et des groupes

Définir un mot de passe

Par exemple, le script permettant d'énumérer des utilisateurs et des groupes contient le

code suivant :

'**************************************************

'

' This script enumerates the users and groups in the passed in OU

' To run: cscript member_adam.vbs [OU] [Group]

' Examples: cscript member_adam.vbs ou=testou,c=us testuser

'

'**************************************************

set Args = Wscript.Arguments

ouName = Args(0)

' If the application OU DN is "ou=adamou,c=us" and the server is "adamhost" and

the port is 389. Then this parameter should be passed

' as follows: "LDAP://adamhost:389/ou=adamou,c=us"

set ou = GetObject(ouName )

wscript.echo "Displaying Groups and Group membership..." & vbcrlf

ou.Filter = Array("group")

for each obj in ou

wscript.echo "Group : " & obj.Name

for each member in obj.Members

wscript.echo " |"

wscript.echo " -- " & member.Name

Next

wscript.echo vbcrlf

Next

Vous pouvez exécuter les scripts de votre choix à partir d'une invite de commande grâce

à la commande cscript. (Pour obtenir de l'aide sur cscript, à l'invite de commande,

tapez cscript /?.) Les noms uniques du fournisseur et de l'hôte doivent être tous les

deux transmis avec le spécificateur de port pour chaque script.

Remarques

Seule l'information nomserveur:numéroport est nécessaire pour le script

Adamcontact.vbs puisqu'il étend le schéma. Vous pouvez ouvrir le fichier dans le

Bloc-notes pour voir la syntaxe spécifique. (Si vous exécutez un script sans

paramètre, un message d'erreur est renvoyé spécifiant que l'indice est hors

limites.)

Par exemple, si vous voulez exécuter le script Member_adam.vbs script pour énumérer

les utilisateurs et les groupes d'un objet à l'aide d'un nom unique de O=Microsoft,C=FR,

tapez :

cscript member_adam.vbs "LDAP://nomserveur:numéroport /o=Microsoft,c=fr"


81


communication LDAP de votre instance ADAM.

Administration de ADAM par programme via l'API System.DirectoryServices L'application Microsoft® Visual Studio® .NET doit être installée pour réaliser l'exercice

suivant.

Pour accéder au mode ADAM via l'interface de programmation d'applications System.DirectoryServices

1. Démarrez Visual Studio .NET.

2. Dans le menu Fichier, cliquez sur Nouveau, puis sur Projet.

3. Dans la zone Types de projets, cliquez sur le type de projet de votre choix (C#,

VB.NET, etc.).

4. Dans la zone Modèles, cliquez sur le modèle de projet de votre choix (Console,

Windows, etc.).

5. Dans le champ Nom, tapez le nom de votre projet.

6. Une fois le projet créé, dans le menu Projet, cliquez sur Ajouter une référence.

7. Dans la colonne Nom de composant, cliquez sur System.DirectoryServices.dll,

comme illustré ci-après.


82

8. Ajoutez la ligne suivante au début de votre code :

C#:

using System.DirectoryServices;

VB.NET:

Imports System.DirectoryServices;

Remarques

L'ajout du nom de l'espace de noms n'est pas obligatoire, mais il est plus

facile à utiliser qu'un nom long. Ainsi, au lieu de taper

System.DirectoryServices.DirectoryEntry, vous pouvez utiliser DirectoryEntry.

9. Pour lire un objet ADAM, ajoutez le code suivant :

int portNumber=1025; // put the correct port number here.

String serverName="adam01"; // put the correct servername here.

String partitionDir = "O=Fabrikam"; //put the correct partition distinguished

name.

DirectoryEntry ent = new

DirectoryEntry("LDAP://"+serverName+":"+portNumber+"/"+partitionDir);

Console.WriteLine("Hello World, {0}, with Guid {1}", ent.Name, ent.Guid);


83

Administration d'objets proxy ADAM par programme Le répertoire \LABS_DEMO\LABS\bindredirect du mode ADAM téléchargé contient un

exemple de code pour créer, remplir et tester des objets proxy ADAM. De plus, le

répertoire comporte une version compilée et prête à exécuter de cet exemple de code.

Celui-ci illustre la façon dont vous pouvez automatiser la création d'objets proxy et

achève la procédure « Pour établir une liaison à ADAM par le biais d'un objet proxy

ADAM » décrite à la section Utilisation des outils d'administration ADAM.

Remarques

Pour plus d'informations sur la redirection de liaison ADAM, voir le Guide de

l'Administrateur Active Directory en mode application. Pour consulter ce guide,



Le code présent dans sampleBindRedirect.c exécute toutes les opérations suivantes par

le biais de programmes :

Établit une liaison à une instance ADAM via le compte d'utilisateur Windows que

vous fournissez.

Lit l'attribut tokenGroups pour que l'utilisateur Windows récupère le SID de

l'utilisateur.

Établit une liaison à une instance ADAM via le compte d'administrateur ADAM que

vous fournissez.

À l'aide du compte d'administrateur ADAM, crée un objet userProxy pour l'utilisateur

Windows.

Ajoute le groupe Utilisateurs de n'importe quelle partition d'annuaire d'applications au

groupe des lecteurs de la même partition.

Établit une liaison à une instance ADAM, en tant qu'utilisateur Windows, pour

démontrer que cet utilisateur Windows ne peut pas lire la partition d'annuaire

d'applications.

Établit une liaison à une instance ADAM via un objet proxy pour démontrer que la

partition d'annuaire d'applications ne peut pas être lue.

Supprime l'objet userProxy.

Vous pouvez exécuter la version compilée de l'exemple de code BindRedirect.exe pour

voir comment cet exemple de code fonctionne. Pour obtenir de l'aide concernant

l'exécution de BindRedirect.exe, à l'invite de commande, tapez bindredirect /?.

Remarques

Les conditions suivantes sont requises pour exécuter cet exemple de code :


84

Un fonctionnement correct est assuré si des connexions SSL sont disponibles vers

ADAM (ce qui implique l'installation de certificats) ou si la valeur de l'attribut

RequireSecureProxyBind sur l'attribut msds-Other-Settings de l'objet

nTDsService est défini sur 0. Pour plus d'informations, voir « Sécurité et liaison

des objets proxy ADAM » dans la section Gestion de l'authentification dans

ADAM.

Aucun objet entité de sécurité externe ne doit exister dans ADAM pour

l'utilisateur Windows que vous spécifiez.

Lorsque vous utilisez une connexion SSL et une liaison, indiquez impérativement

le nom DNS complet de l'ordinateur exécutant ADAM.

Documents

Guide pas à pas du déploiement d'ADAM