Services de domaine Active Directory
Dernière rubrique modifiée : 2009-12-17
Les services de domaine Active Directory (appelés Active Directory dans Windows Server 2003) font office de service d'annuaire pour les réseaux Windows Server 2003 et Windows Server 2008. Ils constituent également la base sur laquelle repose l'infrastructure de sécurité d'Office Communications Server 2007 R2. Cette section explique comment Office Communications Server utilise les services de domaine Active Directory pour créer un environnement sûr pour la messagerie instantanée, les conférences Web, les communications vocales et les échanges multimédias. Pour plus d'informations sur les extensions Office Communications Server pour les services de domaine Active Directory et sur la préparation de votre environnement pour les services de domaine Active Directory, consultez Préparation des services de domaine Active Directory pour Office Communications Server 2007 R2. Pour plus d'informations sur le rôle des services de domaine Active Directory dans les réseaux Windows Server 2003 et Windows Server 2008, reportez-vous à la documentation de Windows Server 2003 ou Windows Server 2008.
Office Communications Server 2007 R2 utilise les services de domaine Active Directory pour enregistrer les éléments suivants :
- paramètres globaux requis pour tous les serveurs Office Communications Server 2007 R2 d'une forêt ;
- informations de service qui identifient les rôles de tous les serveurs Office Communications Server 2007 R2 d'une forêt ;
- paramètres utilisateur.
Préparation des services de domaine Active Directory
Remarque : |
---|
Il est recommandé de déployer les paramètres globaux du conteneur système vers le conteneur de configuration. Si vous migrez à partir d'une version antérieure et que vous avez utilisé le conteneur système, mais que vous envisagez maintenant d'utiliser le conteneur de configuration, vous DEVEZ déplacer les paramètres du conteneur système AVANT de commencer la préparation de la mise à niveau. Pour migrer les paramètres du conteneur système vers le conteneur de configuration, consultez les informations se rapportant à l'outil de migration des paramètres globaux Microsoft Office Communications Server 2007 à l'adresse https://go.microsoft.com/fwlink/?LinkId=145236. |
Lors du déploiement d'Office Communications Server, vous devez commencer par préparer les services de domaine Active Directory. La préparation des services de domaine Active Directory pour Office Communications Server comporte trois étapes :
- Préparer un schéma. Cette tâche étend le schéma dans les services de domaine Active Directory, de façon à y inclure des classes et des attributs spécifiques à Office Communications Server 2007 R2. Elle ne peut être exécutée que par les administrateurs de schéma ou un administrateur local sur le contrôleur de schéma.
- Préparer un forêt Cette tâche crée les paramètres et les objets globaux dans le domaine racine de la forêt, ainsi que les groupes de services universels et d'administration qui régissent l'accès à ces paramètres et objets.
- Préparer un domaine. Cette tâche ajoute les entrées de contrôle d'accès nécessaires aux groupes universels qui accordent les autorisations d'hébergement et de gestion des utilisateurs dans le domaine. Elle est obligatoire dans tous les domaines dans lesquels vous souhaitez déployer des serveurs Office Communications Server et dans tout domaine hébergeant des utilisateurs Office Communications Server.
Pour plus d'informations sur chaque étape de la préparation d'Active Directory, consultez Préparation des services de domaine Active Directory pour Office Communications Server 2007 R2.
Groupes universels
Lors de la préparation de la forêt, Office Communications Server crée plusieurs groupes universels dans les services de domaine Active Directory. Ces groupes universels sont autorisés à accéder aux paramètres et services globaux et à les gérer. Ces groupes sont notamment :
- Groupes d'administration. Ces groupes définissent les rôles d'administrateur fondamentaux pour un réseau Microsoft Office Communications Server. Lors de la préparation de la forêt, ces groupes d'administrateurs sont ajoutés aux groupes d'infrastructure d'Office Communications Server.
- Groupes d'infrastructure. Ces groupes accordent des autorisations pour des zones spécifiques de l'infrastructure Office Communications Server. Ils fonctionnent en tant que composants des groupes d'administration. Vous ne devez pas les modifier ou leur ajouter d'utilisateurs directement.
- Groupes de services. Ces groupes sont des comptes de service qui sont requis pour accéder à divers services fournis par Office Communications Server.
Le tableau suivant répertorie les groupes universels Office Communications Server et leurs privilèges.
Tableau 1. Groupes universels créés par Office Communications Server 2007 R2
Groupe d'administration | Privilèges |
---|---|
RTCUniversalServerAdmins |
Gestion de tous les objets et paramètres Office Communications Server d'une forêt, notamment tous les rôles de serveur, paramètres globaux et utilisateurs. |
Groupe RTCUniversalUserAdmins |
Gestion de tous les utilisateurs d'une forêt qui sont activés pour Office Communications Server. |
RTCUniversalReadOnlyAdmins |
Accès en lecture seule à tous les serveurs et utilisateurs. |
Groupe d'infrastructure |
Privilèges |
RTCUniversalGlobalReadOnlyGroup |
Accès en lecture seule aux paramètres globaux. |
RTCUniversalGlobalWriteGroup |
Accès en écriture aux paramètres globaux. |
RTCUniversalUserReadOnlyGroup |
Accès en lecture seule aux paramètres utilisateur. |
RTCUniversalServerReadOnlyGroup |
Accès en lecture seule aux paramètres du serveur. |
Groupe de services |
Privilèges |
RTCHSUniversalServices |
Compte de service utilisé pour exécuter les serveurs Office Communications Server 2007 R2 Standard Edition et les serveurs frontaux Enterprise Edition. Ce groupe autorise ces serveurs à lire et écrire les paramètres globaux et les objets utilisateur. |
RTCArchivingUniversalServices |
Compte de service utilisé pour exécuter les serveurs d'archivage Office Communications Server 2007 R2 et accéder à la base de données de services. |
RTCProxyUniversalServices |
Compte de service utilisé pour exécuter le serveur proxy Office Communications Server 2007 R2. |
RTCComponentsUniversalServices |
Compte de service utilisé pour exécuter les serveurs de conférence, serveurs de composants Web et serveurs de médiation Office Communications Server 2007 R2. |
RTCUniversalGuestAccessGroup |
Accès en lecture seule au contenu des réunions lors des conférences. Ce groupe est destiné aux utilisateurs internes possédant des informations d'identification Active Directory et se connectant à distance, ainsi qu'aux utilisateurs externes qui ne disposent pas d'informations d'identification Active Directory. |
Informations relatives aux serveurs
Durant l'activation, Office Communications Server publie des informations sur les serveurs aux trois emplacements suivants dans les services de domaine Active Directory :
- un point de connexion de service sur chaque objet ordinateur Active Directory correspondant à un ordinateur physique sur lequel Office Communications Server est installé ;
- les objets serveur créés dans le conteneur de la classe msRTCSIP-Pools ;
- les listes des serveurs approuvés.
Points de connexion de service
Chaque objet Office Communications Server des services de domaine Active Directory est doté d'un point de connexion de service appelé services RTC. Ce point de connexion de service contient à son tour plusieurs attributs qui identifient chaque ordinateur et définit les services qu'il fournit. Les principaux attributs d'un point de connexion de service sont notamment serviceDNSName, serviceDNSNameType, serviceClassname et serviceBindingInformation. Les applications tierces de gestion des actifs peuvent obtenir des informations sur les serveurs d'un déploiement en recherchant ces attributs, ainsi que d'autres attributs de point de connexion de service.
Objets serveur Active Directory
À chaque rôle Office Communications Server correspond un objet Active Directory dont les attributs définissent les services fournis par le rôle. Lorsqu'un serveur Standard Edition Server est activé, ou lorsqu'un pool Enterprise Edition est créé, Office Communications Server crée un nouvel objet msRTCSIP-Pool dans le conteneur msRTCSIP-Pools. La classe msRTCSIP-Pool définit le nom de domaine complet (FQDN) du pool, de même que l'association entre les composants frontal et principal du pool. (Un serveur Standard Edition Server est considéré comme un pool logique dont les composants frontal et principal sont colocalisés sur un même ordinateur.)
Listes des serveurs approuvés
Lors de la préparation de la forêt, Office Communications Server crée des conteneurs destinés aux listes des serveurs approuvés. Durant l'activation, Office Communications Server publie le nom de domaine complet (FSQN) de chaque serveur dans le conteneur approprié. Un serveur approuvé doit satisfaire aux critères suivants :
- Le nom de domaine complet du serveur figure dans une des listes des serveurs approuvés enregistrées dans les services de domaine Active Directory, comme décrit dans la section précédente.
- Le serveur présente un certificat valide, émis par une autorité de certification approuvée. Le nom de domaine complet figurant dans ce certificat correspond à celui de ce serveur dans une des listes des serveurs approuvés. Pour plus d'informations sur l'utilisation des certificats par Office Communications Server, consultez Infrastructure à clé publique pour Office Communications Server 2007 R2.
Si un de ces critères n'est pas respecté, le serveur n'est pas approuvé et la connexion au serveur est refusée. Cette double exigence permet de contrer une attaque, peu probable, au cours de laquelle un serveur non autorisé tente de s'approprier le nom de domaine complet d'un serveur valide.
L'utilisation de plusieurs listes de serveurs approuvés représente une avancée par rapport aux anciennes versions de Live Communications Server qui n'utilisaient qu'une seule liste de serveurs approuvés. Chaque serveur de la liste est représenté par un identificateur global unique (GUID) dans le conteneur de paramètres globaux. Suite à l'addition de nouveaux rôles de serveur dans Office Communications Server 2007 R2, de nouveaux conteneurs ont été créés pour inclure les indicateurs globaux uniques de ces différents rôles. Le tableau suivant répertorie ces nouveaux conteneurs et les listes de serveurs approuvés respectives.
Tableau 2. Listes des serveurs approuvés et leurs conteneurs Active Directory
Liste des serveurs approuvés | Conteneur Active Directory |
---|---|
Serveurs Standard Edition Server et serveurs frontaux de pool d'entreprise |
Service RTC/Paramètres globaux |
Serveurs de conférence |
RTC Service/Serveurs MCU approuvés (Trusted MCUs) |
Serveurs de composants Web |
Service RTC/Serveurs de composants Web approuvés |
Serveurs de médiation et serveurs Office Communicator Web Access (ainsi que serveurs SIP tiers) |
Service RTC/Services approuvés |
Serveurs proxy |
Service RTC/Proxys approuvés |
La liste des serveurs approuvés duplique les entrées de nom de domaine complet qui figurent également dans les objets Office Communications Server individuels. L'objectif de cette redondance est d'empêcher toute usurpation des serveurs approuvés. Cela peut se produire car les services de domaine Active Directory permettent à des utilisateurs individuels de modifier les attributs des objets ordinateur correspondant à leurs ordinateurs personnels. La majorité des entreprises n'autorisent pas les utilisateurs à faire de telles modifications sur leurs ordinateurs de bureau. Toutefois, les listes de serveurs approuvés ajoutent un niveau de sécurité supplémentaire en autorisant uniquement les membres du groupe RTCUniversalServerAdmins à effectuer ces modifications.